公衆無線LANを悪用した暗号通貨マイニング術

Zeljka Zorz

January 19, 2018 08:00
by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。

一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを実行させること、あるいはクリプトジャッキング(cryptojacking)のスクリプトを実行させることだ。

そして先月ブエノスアイレスのスターバックスで発見されたのは、無料のパブリックWi-Fiネットワークのユーザーに提示されるウェブページにマイニングコードを注入するという手法だった。

この事件によって、バルセロナを拠点とするソフトウェア開発者Arnau Codeは「そのような攻撃を自動化する方法の研究」に駆り立てられることとなった。

閲覧ページにスクリプトを書き込む「コーヒー・マイナー」(CoffeeMiner)

この攻撃の第一段階は、ユーザーのデバイスとWi-Fiルーターの間に攻撃者のマシンを割り込ませることにより、ウェブトラフィックを傍受、送信、変更できるようにすることから始まる。

この図のように、被害者のマシンとルーターの間に入り、ARPスプーフィングを実行する。攻撃者は、自分のMACアドレスがデフォルトゲートウェイ(ルーター)のIPアドレスに関連づけられるようにするため、偽装されたARPメッセージをローカルエリアネットワークに送信する。成功すれば、そのIPアドレスに向けたあらゆるトラフィックは、本来のWi-Fiルーターではなく攻撃者へと送られる。

以前は、ユーザーのCPUリソースで仮想通貨採掘を行う「Coinhive」を利用していたため、攻撃者は自分のマシンにHTTPサーバーをセットアップしていた。

Arnau Codeはmitmproxyを利用することにより、そのマシンを通るトラフィックを分析し、またリクエストされたHTMLページに1行のコードを注入するだけで、それを変更することができた。注入されたコードは、そのJavascriptの暗号採掘コードをサーバーから「呼び出す」。

Arnau Codeの最終目的は、完全に自律した攻撃をWi-Fiネットワーク上で実行するスクリプトの作成だったが、開発は一旦中止した。彼が作成した「コーヒー・マイナー」を利用するには、まず攻撃者はすべての被害者のIPアドレスのテキストファイルを手動で準備しなければならない。

しかし、それ以外のことはこのスクリプトが行う。つまりルーターとターゲットのIP取得、IPフォワーディングとIPテーブルの構成、すべての被害者に対するARPスプーフィング、暗号採掘プログラムを提供するためのHTTPサーバー、mitmproxyの開始、そして必要なスクリプトのウェブトラフィックへの注入だ。

彼は現実のシナリオで攻撃をテストしており、それは正常に動作した。しかし、Arnau Codeの概念実証コードを「現実の攻撃」で使用することがないようにと助言している──この開発者は純粋に「研究目的で」これを作成したという点に注目するよう述べた。

「今後のバージョンでは、検出されたIPアドレスをコーヒー・マイナーの犠牲者リストに追加するために自律的なNmapスキャンの機能を追加する可能性がある。もう一つは、ユーザーがHTTPS経由でリクエストできるウェブサイトに対しても確実にインジェクションを行えることを確実にするためにsslstripを追加するかもしれない」と自身のブログで述べている
 
翻訳:編集部
原文:How to make public Wi-Fi users mine cryptocurrency for you
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです。情報・データはHelp Net Securityが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

以前「こっそり仮想通貨をマイニングする侵入者たち」という記事をTHE ZERO/ONEで紹介した。これはWebページに仮想通貨採掘プログラムを攻撃者が密かに仕込み、ユーザーがページを閲覧すると、利用者の端末リソースを無断で使って仮想通貨のマイニングを行う手法だった。

この方法ではWebページの改竄が必須であり、これが攻撃者にとってはハードルが高い作業となる。しかしこの記事にあるコーヒー・マイナーは、「無線LANのアクセスポイント」と「利用者」の通信に入り、中継するWebページのデータに仮想通貨採掘プログラムを流し込み、閲覧者に採掘させる。

そもそも公衆無線LANが利用できるような場所は、不特定多数の人間が出入りできるので物理的な侵入が容易である。そして無線を利用することで、物理的な作業を必要とせずにアタック可能だ。被害者も「カフェの無線LANアクセスポイントと自身の端末に攻撃者が割り込んで、無断で仮想通貨採掘プログラムを送り込んでくる」とはなかなか想像しないので、その意識の低さも攻撃者にとってプラスとなる。

公衆無線LANの危険性については、いろいろな指摘がされてきた。今回のArnau Codeが作成した「コーヒー・マイナー」も、公衆無線LANの危険性の1つに加えられるだろう。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…