公衆無線LANを悪用した暗号通貨マイニング術

Zeljka Zorz

January 19, 2018 08:00
by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。

一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを実行させること、あるいはクリプトジャッキング(cryptojacking)のスクリプトを実行させることだ。

そして先月ブエノスアイレスのスターバックスで発見されたのは、無料のパブリックWi-Fiネットワークのユーザーに提示されるウェブページにマイニングコードを注入するという手法だった。

この事件によって、バルセロナを拠点とするソフトウェア開発者Arnau Codeは「そのような攻撃を自動化する方法の研究」に駆り立てられることとなった。

閲覧ページにスクリプトを書き込む「コーヒー・マイナー」(CoffeeMiner)

この攻撃の第一段階は、ユーザーのデバイスとWi-Fiルーターの間に攻撃者のマシンを割り込ませることにより、ウェブトラフィックを傍受、送信、変更できるようにすることから始まる。

この図のように、被害者のマシンとルーターの間に入り、ARPスプーフィングを実行する。攻撃者は、自分のMACアドレスがデフォルトゲートウェイ(ルーター)のIPアドレスに関連づけられるようにするため、偽装されたARPメッセージをローカルエリアネットワークに送信する。成功すれば、そのIPアドレスに向けたあらゆるトラフィックは、本来のWi-Fiルーターではなく攻撃者へと送られる。

以前は、ユーザーのCPUリソースで仮想通貨採掘を行う「Coinhive」を利用していたため、攻撃者は自分のマシンにHTTPサーバーをセットアップしていた。

Arnau Codeはmitmproxyを利用することにより、そのマシンを通るトラフィックを分析し、またリクエストされたHTMLページに1行のコードを注入するだけで、それを変更することができた。注入されたコードは、そのJavascriptの暗号採掘コードをサーバーから「呼び出す」。

Arnau Codeの最終目的は、完全に自律した攻撃をWi-Fiネットワーク上で実行するスクリプトの作成だったが、開発は一旦中止した。彼が作成した「コーヒー・マイナー」を利用するには、まず攻撃者はすべての被害者のIPアドレスのテキストファイルを手動で準備しなければならない。

しかし、それ以外のことはこのスクリプトが行う。つまりルーターとターゲットのIP取得、IPフォワーディングとIPテーブルの構成、すべての被害者に対するARPスプーフィング、暗号採掘プログラムを提供するためのHTTPサーバー、mitmproxyの開始、そして必要なスクリプトのウェブトラフィックへの注入だ。

彼は現実のシナリオで攻撃をテストしており、それは正常に動作した。しかし、Arnau Codeの概念実証コードを「現実の攻撃」で使用することがないようにと助言している──この開発者は純粋に「研究目的で」これを作成したという点に注目するよう述べた。

「今後のバージョンでは、検出されたIPアドレスをコーヒー・マイナーの犠牲者リストに追加するために自律的なNmapスキャンの機能を追加する可能性がある。もう一つは、ユーザーがHTTPS経由でリクエストできるウェブサイトに対しても確実にインジェクションを行えることを確実にするためにsslstripを追加するかもしれない」と自身のブログで述べている
 
翻訳:編集部
原文:How to make public Wi-Fi users mine cryptocurrency for you
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです。情報・データはHelp Net Securityが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

以前「こっそり仮想通貨をマイニングする侵入者たち」という記事をTHE ZERO/ONEで紹介した。これはWebページに仮想通貨採掘プログラムを攻撃者が密かに仕込み、ユーザーがページを閲覧すると、利用者の端末リソースを無断で使って仮想通貨のマイニングを行う手法だった。

この方法ではWebページの改竄が必須であり、これが攻撃者にとってはハードルが高い作業となる。しかしこの記事にあるコーヒー・マイナーは、「無線LANのアクセスポイント」と「利用者」の通信に入り、中継するWebページのデータに仮想通貨採掘プログラムを流し込み、閲覧者に採掘させる。

そもそも公衆無線LANが利用できるような場所は、不特定多数の人間が出入りできるので物理的な侵入が容易である。そして無線を利用することで、物理的な作業を必要とせずにアタック可能だ。被害者も「カフェの無線LANアクセスポイントと自身の端末に攻撃者が割り込んで、無断で仮想通貨採掘プログラムを送り込んでくる」とはなかなか想像しないので、その意識の低さも攻撃者にとってプラスとなる。

公衆無線LANの危険性については、いろいろな指摘がされてきた。今回のArnau Codeが作成した「コーヒー・マイナー」も、公衆無線LANの危険性の1つに加えられるだろう。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

善意のサイトが犯罪の片棒を担ぐ!? 手軽にサイバー犯罪を行う中国の富豪の子弟

February 19, 2018 10:00

by 牧野武文

中国のサイバー犯罪者というと、地方で工学系の大学を卒業したものの、仕事がなく、生活費に困って、知識を活かした犯罪をするというのが大半だ。しかし金持ちの子弟が、サイバー犯罪に手を染める例も数は多くないもの存在する。本来は、視覚障害者のためのサービスとして始まった「快啊答題」は、運営者がスリルを求めてサ…

「教科書アダルトリンク事件」の犯人が逮捕される

February 13, 2018 08:00

by 牧野武文

中国の中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用としてアダルトサイトのURLが掲載されて教育界が大騒ぎになった事件を以前にお伝えした。このアダルトサイトの運営者が逮捕されたことを『騰訊新聞』が報じた。 「あぶれ組」による犯行 中国の人口は約14億人。中国政府は伝統的に教育に力を入れており…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

February 9, 2018 08:00

by 江添 佳代子

→前編はこちら 人々の「動き」が伝える情報 Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのも…