クリプトジャッキングについて


日付: 2021-07-27 閲覧数: 284



ブロックチェーン技術と仮想通貨ネットワークの進化がディジタル資産の世界で革命を起こし続けています。現在、多数のブロックチェーンベースの仮想通貨仕組みが利用可能になっており、企業と個人用途向けの仮想通貨サービスが沢山存在します。そして、CPUパワーを仮想通貨のマイニングに使用してしまう悪質なソフトを配布するハッカーもいます。ここでクリプトジャッキングについて詳しく解説したいと思います。


はじめに


特に、Coinhiveなどのようなマイニングスクリプトの開発を主業とする企業と追跡不可能な仮想通貨(モネロなど)が登場してから、クリプトジャッキングの為に使用されるマルウェアが攻撃者の不可欠なツールになりました。それで、銀行業界のウェブサイトや通販プラットフォーム、政府や米軍によって運用されているサーバ、任天堂などのゲームプラットフォーム、核心となるリソースだけでなく、最近のパンデミック中に人気を集めたビデオ会議ツール「Zoom」もクリプトジャッキングマルウェア感染を被ったと報告されています。


対策として、マルウェアを駆除してくれるブラウザ拡張機能を追加する利用者がいるかもしれませんが、ウイルス対策ソフトや分析ツールに頼ってマイニングマルウェアを完全に駆除できると言えません。なぜかと言えば、攻撃者がソースコードの難読化やスクリプトのドメインを変えることでマイニング作業を難なく秘密裏に行い続けることができるからです。


この為に、クリプトジャッキングマルウェアを検出するような適応解析ツールが提案されましたが、クリプトジャッキングによる脅迫の重要性について報告する総合的な資料がほとんどありません。今回はマイニングマルウェアについて解説していきたいと思います。


背景


ビットコインが2009年に誕生して以来、ブロックチェーン技術に基づく仮想通貨ネットワークが特定のコミュニティだけでなく、銀行業界と様々な商業組織からも注目を浴びています。多くの金融組織が仮想通貨を決済手段として認識し始めるようになったため、誰でも仮想通貨を使ってネット上で取引を簡単に行えるようになりました。現在、2000種類以上の仮想通貨が存在します。2017年に仮想通貨ブームが起きて、当時の市場価値が1兆米ドルに接近しました。



カスペルスキーの調査結果によると、世界人口の19%が仮想通貨を購入した経験を持っていると分かります。


ところが、仮想通貨を購入することが投資の唯一な手段ではありません。例えば、投資家はマイニングプールを構築することでも収益を得ることが出来ます。この急速で成長する新たな業界で仮想通貨マイニングの魅力的な収益率が攻撃を図るハッカーたちの注目も集めているようです。


被害者の計算パワーを許可なく仮想通貨マイニングに使用することを「クリプトジャッキング」と言います。


仮想通貨マイニング自体が無駄な電力を消費してしまうと同時に、被害者のパソコンの性能を劇的に低下させることが一番の問題だそうです。クリプトジャッキングを実行する為に、この目的に適するマルウェアを使用し、マイニングの結果として、攻撃者が電力を仮想通貨に交換します。CoinhiveCryptoLootのような攻撃用マイニングスクリプトを提供するサービスプロバイダーの誕生後、攻撃者は即時使用可能なWebブラウザ埋め込みスクリプトを使って、多くの人気なウェブサイトのソースコード改ざんを簡単に行えるようになりました。


Webブラウザクリプトジャッキング事件


Googleの広告パッケージに有害なマイニングマルウェアが埋め込まれて、Youtubeがクリプトジャッキング攻撃を被った事件が大規模な攻撃として知られています。


この感染した広告パッケージが被害者のパソコンにコンパイルされて、閲覧中に仮想通貨を採掘しました。YouTubeなど、動画配信サービスを提供する普段信用されるプラットフォームが攻撃者によく利用されます。なぜなら、動画配信プラットフォームは十分な数の人に比較的長く閲覧されるからです。


別件で、イギリスの政府に運用されたプラグインでクリプトジャッキングマルウェアが発見されました。当時、数千のウェブサイトはこのプラグインを使用したと報告されています。


核心となるサーバを攻撃するクリプトジャッキング


ウェブページで実行される仮想通貨マイニングマルウェアに加えて、セキュリティ対策を導入した政府か軍事組織によって運用されるサーバでも発見されました。具体的に米国国防総省のバグバウンティプログラム(脆弱性報奨金制度)で仮想通貨をマイニングするマルウェアが検出され、このマルウェアはCoinhiveが提供したものであり、発見されるまでに35.4モネロを採掘しました。


同様に、ロシアの核兵器開発研究所の研究員が施設のサーバに仮想通貨をマイニングするソフトを導入したと疑われて逮捕されまし た。


多くの場合は、攻撃者はサービスプロバイダが提供するマイニングスクリプトを使用するだけでなく、悪意のない目的で開発される採掘用ソフトを書き換えることもあるようです。例えば、あるサイバーセキュリティ会社がイタリアを拠点地とする銀行の社内ネットワークからヨーロッパ由来のボットネットへの異常なデータ通信を発見したこともあります。さらなるデータ分析の結果で、このマルウェアは実はビットコインを採掘するソフトだったと分かりました。


クリプトジャッキングを高度な技術で実行


クリプトジャッキングマルウェアを配布する為に、高度な技術を使用するクリプトジャッキング事件も沢山ありました。例えば、一つの有名なボットネット、Vollgarは管理用アカウントを乗っ取って世界中の全てのMySQLサーバに仮想通貨マイニング用ソフトを密かに注入しようと試みました。別件で、新型コロナウ イルスがもたらしたパンデミックの中、人気を集めたビデオ会議ソフトZoomのソースコード改ざんで、仮想通貨マイニングマルウェアが様々なファイル共有プラットフォームで配布されました。


人気ゲーミングプラットフォーム、SteamNintendo Switchなどもクリプトマルウェアによる攻撃を被り、仮想通貨マイニング用ソフトの配布に利用されたと報告されています。


そして、ネットワーク機器を製造する大手、MikroTikが開発する端末にも脆弱性を突いて外向きの全ての接続にマイニングスクリプトが注入され、140万の端末がマルウェアに感染した事件も注目を集めました。


クリプトジャッキングの検出の難点


クリプトジャッキング技術が高度化する中、被害者のパソコンで許可なく行われる仮想通貨マイニングの検出し、被害者の計算リソースを勝手に利用してしまうウイルスからパソコンを十分に守ることがかつてないほど重要になりました。とはいっても、仮想通貨マイニング用のマルウェアの性質が従来のマルウェアと異なり、被害者のパソコンを乗っ取っる目的で侵入するのではなく、計算リソースを秘密裏に使用するという目的だけで配布されています。そして、従来のマルウェアをその振る舞いに最適化した方法で検出することが多く一方、仮想通貨マイニング目的で侵入するマルウェアは、被害者のCPUやGPUを勝手に使用し、計算したハッシュ関数の値を攻撃者に返すという作業だけしか行わず、従来のウイルス対策ソフトの観点からしたら由来不明の過負荷を課す謎のプログラムに見えます。更に難しいのは、Webブラウザ埋め込み型のマルウェアです。なぜなら、よく信用されるサイトを攻撃することが多く、毎日数千万人が訪問するプラットフォームに攻撃されると期待する人がほとんどいないでしょう。あとは、従来のマルウェアは個人情報などを盗み取ったり、サービスを停止させたり(分散型サービス拒否攻撃など)、被害者のパソコンを乗っ取ったりすることが目的でしたが、クリプトジャッキングの場合は、攻撃者の手に入る収益が時間が経つとともに増加するので、できるだけ長くバックグランドでマイニングを行うことが目的で、近年登場したクリプトマルウェアは著しく異なる性質を見せています。したがって、攻撃者がマルウェアを隠したらい、フィルタをかけたりすることが多く、ウイルス対策ソフトや利用者になかなか発見されないというのが問題です。


クリプトジャッキング問題が深刻化する中、サイバー攻撃に関する様々な学術論文でクリプトジャッキングについて警鐘を鳴らしたサイバーセキュリティエキスパートがいます。とはいっても、仮想通貨マイニング目的で侵入するマルウェアについての総合的な学術論文が多くあると言えません。今回はSoK: Cryptojacking Malwareと題する論文の和訳を以下において共有します。


クリプトジャッキングマルウェアを配布する為に、ハードウェア脆弱性、最近のCVE(Common Vulnerabilities and Exposures)、IoT端末の設定ミス、DockerエンジンとKubernetesクラスタの脆弱性と人気なDDoSボットネットを悪用し、マルウェアを配布する事件が相次いで起きているようですが、このような事件が研究されないのも事実です。次の資料で、クリプトジャッキングに関する知識を整理すると同時に、高性能のクラウドプラットフォーム、DockerエンジンとKubernetesクラスタ上のIoT端末を対象とする攻撃についても述べます。


次に仮想通貨ネットワークを支えるブロックチェーンの構造について解説します。


ブロックチェーンとは、データ改ざんからネットワークを守る為に開発される、第三者を介せずに利用者同士の間に行われる取引を記録する電子台帳です。ブロックチェーンの構造は沢山のブロックから成形し、例えばビットコインの場合は、1つのブロックの中でブロックヘッダーとトランザクションデータがあります。1つのブロックヘッダーは次の情報を含めます:


1)1つ前のブロックのハッシュ値


2)バージョン


3)タイムスタンプ


4)難易度


5)nonce(ナンス)


6)マークル木のルート


1つ前のブロックのハッシュ値を保存することで、各ノードが1つ前のブロックと数学的な関係を持つことになるため、ブロックに一度書き込まれたデータの改ざんは理論上不可能です。そして、ブロックヘッダー以外にネットワークの参加者によって検証された取引情報も保存されます。


仮想通貨マイニングとは


ブロックチェーン上に保存されたデータの改ざんを防ぐ為に、プルーフ・オブ・ワーク(Proof of Work)プロトコルが考案されました。この技術は、一本の鎖のように各ブロックを1つ前のブロックとつなげて、理論上改ざん不可能な構造を実現します。プルーフ・オブ・ワークを採用する仮想通貨ネットワークに参加する利用者は膨大な計算量をかけてハッシュ関数を繰り返して計算し、特定の条件を満たす解を見つけたノードにブロックチェーンに新しいブロックを追加できる権限が与えられます。正確なハッシュ値を誰よりも早く見つけた利用者はブロック報酬と生成したブロックの中の全ての手数料を収益としてポケットに入れることができます。正確なハッシュ値はネットワークによって管理される難易度を満たすものであり、難易度条件を満たすか否かをブロックを生成したノード以外の全てのノードによって検証されます。もしそうであれば、ブロックの追加を行った後にマイニング報酬が支払われることになります。難易度の設定と調整はPoW法の実装によって違ったりします。


採掘者は難易度条件を満たすようなハッシュ値を見つける為に、試行錯誤を繰り返しナンスを毎回増やすことで勝ち取ろうと心掛け、勝者はブロックを生成し、通信した後にブロックチェーンに自動的に追加されるという流れで、ブロックチェーン構造が永遠に伸びていきます。この手続きは「仮想通貨マイニング、クリプトマイニング」と呼ばれています。


ネットワークによって受け入れるハッシュ値を見つけ出す確率が採掘者の計算パワーに比例します。つまりマイナーが持っているマイニング機の性能が高ければ高いほど1秒間で計算できるハッシュの数が増加します。とはいっても、1秒間で計算する解の数を増やそうとするとマイニング機の消費電力も上がるのも当たり前でしょう。これで、仮想通貨マイニング目的でマルウェアを開発するのであれば、電気代を抑える為に被害者のパソコンに侵入し許可なく仮想通貨を採掘する悪意の攻撃者のモチベーションは説明を要しないですね。


ビットコインが誕生して以来、新しい機能(スマートコントラクトなど)を実現するかビットコインの設計上の欠点を改善する目的でさまざまな仮想通貨が開発されてきました。当初にビットコインが一般コンシューマー向けCPUで採掘 できるように設計され、一般利用者誰しもパソコンさえ持っていればネットワークに参加し、マイニング用ソフトを導入するとマイニングできるというふうに考案されました。しかし、CPUマイニングより超並列計算をもっと効率よく行 うGPU(グラフィックボード)の方がマイニング収益が高く、CPUでビットコインを採掘する利用者がどのどんマイニング活動から引退することになりました。そして、さらなる最適化の結果、特定用途向けFPGA回路も開発されてきて、CPUとGPUマイニングを大いに上回る収益率のマイニング機も市場に出されました。そこで、仮想通貨マイニングに最適化したASIC(特定用途向け集積回路)マイニング機がビットコインのマイニング市場を席巻しました。


他のハッシュ関数を採用する仮想通貨


ビットコイン以外のアルトコインの場合、異なるハッシュ関数を採用することが多く、マイニング作業にも相違点が多少あります。例えば、Moneroをマイニングする際、CryptoNightと言う計算手法が用いられて、MoneroはCPUとGPUのみ でマイニングできる仮想通貨になっています。CryptoNightはL3キャッシュを利用することで、マイニング作業に最適化したASICマイニング機の開発を妨げる特徴を持っています。また、RandomXアルゴリズムを採用するMoneroはCPUマイ ニングの普及に拍車をかけて、ASICマイニング機の自然淘汰をもたらしました。したがって、Moneroは世界中の沢山の利用者にマイニングされていてCPUマイニングを優先することと、リング署名技術を採用する理論上追跡不可能な電子 台帳で取引歴史を管理する機能が秘密裏に仮想通貨マイニングを図る攻撃者にとって好ましい特徴です。


仮想通貨マイニングを行うマルウェアの種類


被害者の端末(パソコン、スマホなど)のリソースを悪用し、許可なく仮想通貨マイニングを行うソフトは「クリプトジャッキング・マルウェア」と呼びます。攻撃は以下の3つの段階で実行されます:


1)開発


2)スクリプトの注入


3)攻撃


開発と攻撃の段階はマイニングスクリプトの種類に関係なく同様に行われますが、スクリプトの注入に用いられる方法によって、ウェブサイト埋め込み型マルウェアとホストベース・マルウェアに区別することが多いです。以下に次の2種類のマルウェアについて述べたいと思います:


ウェブサイト埋め込み型マイニングマルウェア


ホストベース・マイニングマルウェア


種類1ーウェブサイト埋め込み型マイニングマルウェア


JavaScriptとWebAssemblyなどのようなウェブ技術の進歩と共に利用者のリソースに相当な負荷をかける多様なコンテンツの配信が可能になりました。それで、動画などのメディアコンテンツを読み込む為に開発されたウェブ技術を活かして、被害者のCPUや他のリソースを悪用することで勝手に負荷を発生させるウェブサイト埋め込み型マイニングマルウェアも開発されています。


今回はマイニング用スクリプトを開発する業者は「サービス・プロバイダ」と呼びましょう。攻撃の第一歩として、スクリプトの所有者(スクリプトを合法的に使う利用者もいるが)がサービスプロバイダのプラットフォームに登録し、暗号鍵と公開鍵と共にマイニング・スクリプトを取得します。スクリプトの所有者が登録後、サービス・プロバイダからもらった有害なスクリプトを自分のウェブサイトに注入します。そして、サービス・プロバイダが計算するべきハッシュ値の範囲を分割し、各利用者に特定の計算量を割り当てます。各利用者が計算したハッシュ値をマイニング・プールに提出した後、計算量に応じて発生する報酬がサービス・プロバイダに支払われるという流れです。


攻撃の段階で、ウェブブラウザが有害なスクリプトを含めたサイトを訪問する端末にマルウェアを自動的に読み込い、仮想通貨マイニングが開始します。実行後に、サービス・プロバイダからマイニング・ジョブを依頼します。そしてこのサービス・プロバイダがこの依頼をマイニング・プールに転送し、マイニング・プールがマイニング・ジョブをサービス・プロバイダに割り当てます。次にサービス・プロバイダがマイニング・スクリプトにジョブを転送し、被害者の端末で仮想通貨マイニングが開始します。マイニング・スクリプトとサービス・プロバイダがインターネットに接続している間にマイニングが被害者のパソコンで途切れることなく続き、計算結果が直接にサービス・プロバイダに返されます。そして、サービス・プロバイダは感染した接続中の端末から計算結果を集めてマイニング・プールに大量のハッシュ値を転送し、その結果、計算量に応じて仮想通貨を報酬として受けるという不正な方法で利益を出します。ここで有害なスクリプトの所有者がアカウント情報の認証を行った後に、サービス・プロバイダとこの利益を分割します。この詐欺じみた仕組みで攻撃者は被害者のリソースの悪用によって生じる損失を償うことが一切なくクリプトジャッキングは疑いなく悲惨かつ恐ろしい攻撃だ思います。


種類2ーホストベース・マイニングマルウェア


ホストベース・マイニングマルウェアとは、被害者のパソコンで秘密裏に許可なく仮想通貨マイニングを行う有害なプログラムです。ウェブサイト埋め込み型マルウェアと異なって、ホストベースマルウェアの場合はブラウザから攻撃するのではなく、攻撃者は被害者の端末に仮想通貨マイニングを行うプログラムを導入することで侵入するという方法になります。したがって、サードパーティー製アプリケーションのソースコード改ざんで被害者のパソコンを感染することが多い一方、セキュリティ対策システムの脆弱性などにつけ込んで攻撃を実行することもあり、DBD攻撃(ドライブバイダウンロード)やソーシャル・エンジニアリングによるクリプトジャッキング事件も報告されています。


スクリプトの開発は前述した様に行われます。次に攻撃者は正当なソフトウェアのソースコードをマルウェアとマージし、有害なアプリケーションをファイル共有プラットフォーム(BitTorentや公開クラウド)にアップロードします。その後、被害者がマルウェアを含めた実行可能なバイナリをダウンロードし、自分のパソコン、IoT端末やサーバに導入すると注入の段階が完了します。そして、攻撃の段階で起動後にWebSocketもしくはAPI経由でマイニング・プールと接続し、マイニング・ジョブを受け取ったらマイニング作業が始まります。被害者の端末が稼働中に計算したハッシュ値をマイニング・プールに提出します。それで、攻撃者は自分の電力を消費することなくマイニング・プールから報酬を受け取ることに対して、被害者とマイニング利益を分配しないという不道徳な(違法な?)行為を遂行します。


攻撃者はサービス・プロバイダから受け取った報酬を以下の3つの方法で利用できます。


他の利用者との取引か仮想通貨取引所で法定通貨に両替する


サービスの対価を支払う


仮想通貨ミキシング資金の流れをどれないようにする


サービス・プロバイダについて


サービス・プロバイダは仮想通貨マイニング用スクリプトを公衆にリリースする主要な開発業者です。登録時、ハッシュパワーと共に管理する唯一なIDを各ユーザに割り当てます。そして利用者の善意悪意を問わずマイニング・スクリプトを提供し、それをコピペすることだけで有害なスクリプトの導入が済みます。


Coinhiveは史上初のマイニング・スクリプトの開発業者と知られており、2017年から広告以外の収入源をコンテンツ所有者とウェブサイトの運営者に提供していました。Coinhiveの元のアイデアは新たな収入源を提供することでしたが、クリプトジャッキングを図る攻撃者の人気も集めるようになりました。サービス提供中に、CoinhiveがMoneroのネットワークのハッシュパワーの大半を支配していたそうです。ところで、Moneroの相場が下落し、Coinhiveが2019年の3月に採算に合わないことを理由にマイニング・スクリプト開発事業を止めると決めました。その後、Authedmine、Browsermine、Coinhave、Coinimp、Coin nebula、 Cryptoloot、 DeepMiner、JSECoin、 Monerise、Nerohut、Webmine、WebminerPoolやWebminepoolなどの新しい機能(ユーザ通知、マイニングの変数を調整できるGUIなど)を実装する代替品を提供する開発業者が登場しました。


仮想通貨マイニング用ソフト


ブロックチェーンを採用する仮想通貨ネットワークは様々なプロトコルと暗号技術に基づきます。なので、採掘者もコミュニティによって開発されるソフトウェアで定めたルールに従うことが求められます。ブロックチェーン技術は基本的にオープンソースであり、仮想通貨マイニング用ソフトのソースコードもGitHubのようなソースコード共有プラットフォームに公開され、誰でもダウンロードしたり書き換えたりすることができるわけです。よって、攻撃者が好きなようにソースコードの構造を変えたり、被害者の端末上にマイニングを行う為に最適化したりすることが容易に出来ます。また、マイニング・プールが提供する即時使用可能な仮想通貨マイニング用ソフトも沢山存在します。クリプトジャッキングを図る攻撃者はソースコードを書き換えて自分の用途に適したツールを仕上げて攻撃を遂行するとういう流れが一般的です。例えば、高性能かつ信頼性の高いXMRigと呼ばれる仮想通貨マイニング用ソフトのソースコードもGitHub上に公開されています。IBMのパロアルトネットワークスによると、XMRigの跡が世界中の膨大な数の端末を狙った攻撃の解析結果で発見されたと分かります。


注入方法



ウェブサイト管理者がブラウザ埋め込み型マイニングスクリプトを用いることでサイトの収益を上げたり、プレミアムコンテンツを利用するユーザから料金を徴収することもあり、この方法だけでマイニングスクリプトが採掘した仮想通貨を報酬として獲得できるのです。稼働中のマイニングスクリプトについて知らせるウェブサイトもある一方、なんの通知もなくマイニング作業を行うウェブサイトが沢山あり、このような作業は多くの国で違法行為と見なされます。



さらに言えば、衝撃者がセキュリティ脆弱性を持つウェブサイトを狙ってマイニングスクリプトを注入することも多いようです。確かに、クリプトジャッキングとは「クリプトマイニング」と「ハイジャッキング」の造語です。Ruth氏たちの研究結果によるとCoinhive


が提供するマイニングスクリプトの85パーセントは10人の開発者によって作られたと分かります。この方法で侵入 されたウェブサイトの所有者が何も知らずに利益を得ることなく完全に騙されることになります。


多くの研究で、衝撃者が同じIDを使用すると報告されており、この為、衝撃者の追跡は比較的簡単に行えます。例えば、Inadvertently Making Cyber Criminals Rich: A Comprehensive Study of Cryptojacking Campaig


ns at Internet Scaleと題する論文の筆者はこの方法でリモートコード実行の脆弱性を突いて衝撃する事件が一番多いと述べています。セキュリティ脆弱性を披露する目的で行った検査の結果から、インドの政府の公式サイトを攻撃したマイニングマルウェアは全てのap.gov.inとそのサブドメインに属するウェブサイトに悪影響を及ぼしたと分かります。


なお、ブラウザ埋め込み型マルウェア以外に、JavaScriptベースの広告を感染し、マイニングスクリプトを配布する攻撃者もいます。この方法で、被害者の端末をほとんど手間をかけることなく感染することが出来ます。なぜなら、このような攻撃を実行


するにはウェブサイトやアプリケーションを感染する必要がないからです。YouTubeとGoogleの広告提供プラットフォームもクリプトジャッキングマルウェアによって感染されたことがあり、感染したサイトを訪問したユーザのパソコンでモネロをマイニングするマルウェアが実行されました。Webサーバへのアクセスは不要で、膨大な数の端末を感染できるというのがこの方法の魅力的なところです。


有害なブラウザ拡張機能


感染したブラウザ拡張機能も被害者の端末のリソースを悪用してしまい、ウェブサイト埋め込み型マルウェアと同様に、被害者を知らせることなく仮想通貨マイニングを勝手に行います。ここで大きな違いは、訪問中のウェブサイトと関係なくウェブブラウザが稼働している限り、仮想通貨マイニングが行われるという点です。したがって、クリプトジャッキングによる悪用を理由に、Googleなどの主要ウェブブラウザ開発業者は仮想通貨マイニング用の拡張機能の使用を禁止することにしました。


サードパーティー製ソフトのソースコードを悪用し、仮想通貨マイニングを行うマルウェアと一緒に配布するというやり方も人気だそうです。感染を拡大させる為に無料ファイル共有プラットフォームを利用することが多く、信用してもいいと思われるアプリケーションのソースコードに仮想通貨マイニング用マルウェアを注入したサードパーティー製アプリケーションもよくクリプトジャッキング攻撃を受けると報告されています。攻撃を実行する為に、攻撃者はハードウェアに著しい負荷を与えるアプリケーションを悪用することが多いです。動画編集ソフト、最新のゲーム、工学者向けソフトなどの利用は強力な機材を前提としてるし、ハイスペックな端末を必要とするアプリケーションは被害者の計算リソースに制限なくアクセスすることができるのが攻撃者にとって魅力的なところです。


このような攻撃は起き続けています。例えば、通話会議によく使われる人気ソフトZoomのソースコードに主流ビットコインマイナーが注入され、さまざまなファイル共有プラットフォームで有害なソフトが配布されました。別件で、人気ゲーム「Fortnite」のソースコード改ざんでビットコインを採掘する有害なソフトが同じ方法で配布されたと分かります。主に2017年から用いられるブラウザ埋め込み型マルウェアと異なり、ソースコード改ざんによる攻撃はもっと早く、2013年に現れたようです。


脆弱性を突くマルウェア


多くの事件で攻撃者はゼロデイ脆弱性を突いて、ハードウェアおよびソフトウェアを悪用します。これで幾つかの端末が攻撃対象になってしまい、被害者は知らず知らずのうちに仮想通貨をマイニングするのです。過去数年の間、このような事件が数多く起こりました。最も騒動を引き起こした事件で、およそ140百万個のMikrotikルータのハードウェアのOSにおける脆弱性が悪用されました。リモートコード実行攻撃の多くはマイニングスクリプトを被害者の端末に注入することを目指していると前述の研究論文から分かります。


ソーシャル・エンジニアリング


セキュリティ対策システムを回避する為に、「ソーシャル・エンジンニアリング」という少し古びた方法がよく用いられます。同様に、攻撃者が人間の心理的な脆弱性を悪用することで有害なソフトを導入するように利用者を騙すというのも一般的なやり方だそうです。ソーシャル・エンジニアリングを使って仮想通貨マイニング用ソフトを導入させる方法も普及し続けていると前述した研究論文から分かります。


ダウンロードによる導入


被害者が有害なソフトをダウンロードし、知らず知らずのうちに仮想通貨マイニングを行うという攻撃方法も普及しました。具体的に言うとこれは、被害者は有害なウェブサイトを訪問したり、ポップアップ広告をクリックしたり、電子メールの有害な添付ファイルを開いたりする際、マイニング用スクリプトが勝手に導入されるという方法です。例えば、攻撃者がshell実行脆弱性を突いてマイニングスクリプトの蔵置に成功した事例も報告されています


クリプトジャッキング攻撃の対象


ウェブブラウザ:被害者の端末に有害なマルウェアを届ける必要がないため、ウェブブラウザはよくクリプトジャッキング攻撃を受けます。この場合は、悪意のあるスクリプトを含めるサイトを訪問すると仮想通貨マイニングが始まります。この方法で跡を残すことなくスクリプトが実行されます。また、普及の第二の理由は、マイニングスクリプト開発業者が数多くの容易に使用できるソフトを提供しているため、ウェブブラウザを対象にする攻撃は比較的簡単に実行できるという点です。ところが、この方法は被害者の端末のCPU以外のリソースを利用できないので、特定用途向け集積回路などを必要とする計算手法を採用した仮想通貨(現在ビットコインなど)のマイニングに適しないのも事実です。 このため、ウェブブラウザを対象にする攻撃の対象仮想通貨は主にモネロであるが、場合によって他のCPUでマイニングできる仮想通貨を採掘した事例について報告する研究論文もあります。


日常のパソコン:コンシューマー向けパソコンで日常の課題を完結して、計算リソースをあまり必要としないソフトを使用することが一番多い一方、近年、最新のゲームや動画編集ソフトなど高スペックな機材を前提条件にするアプリケーションが普及した為、一般利用者も膨大な数の演算を迅速に行ってくれるパソコンを持つようになりました。被害者が多ければ多いほど攻撃の収益性が上がります。この為、攻撃者はなるべく多くの端末を狙い、ブラウザ埋め込み型マルウェアもよく使っているようです。大規模なキャンペーンを悪意する事例も報告されており、Ciscoの研究チームが2年にわたる、xmrigを用いた攻撃の経緯を明らかにしました。彼らの研究結果によると、攻撃者は自分の行為を一切隠そうとせず、もっと多くの被害者にマルウェアを届ける為に、さまざまなフォーラムやSNSで臆面も無く有害なスクリプトをダウンロードするよう促していたそうです。


構内サーバ:重要性の高い組織で、組織内のハードウェアの保護とデータセキュリティ強化の観点から見ると構内サーバ上にデータを保存するという方法を採用するのが理にかないます。とは言っても、構内サーバがよく攻撃され、クリプトジャッキング攻撃を被った組織について報告する事例が多数出現しつつあります。一般利用者の端末と異なって、構内サーバは性能の高いものであり、複数のサービスを実行し、外部ネットワークへよくアクセスするので多種の脆弱性を見せていることが問題視されています。外部ネットワークへの複数の接続を狙う攻撃が比較的広い表面から侵入 できるのです。しかし、攻撃を実行する為にセキュリティ対象システムの脆弱性を突いて構内サーバへの経路を探り出す必要があり、攻撃者はサードパーティー製ソフトの脆弱性を悪用したり、ソーシャル・エンジンニアリングなどの方法で構内サーバに仮想通貨マイニング用ソフトを蔵置するという行為が一般的に見られています。


クラウドサーバ:クリプトジャッキング攻撃を受けたクラウドサーバについてもよく報じられています。特に、2年前から、Coinhiveがサービスを停止した後にクリプトジャッキング用スクリプトを幅広く配布しようとしているハッカーたちが新しいプラットフォームの開拓に全身全霊をかけて努力しているようです。ここで、クラウドサーバのさまざまな脆弱性を悪用して仮想通貨マイニング用スクリプトを蔵置するのが目的です。AWSなどクラウドサーバを提供する業者のインフラが攻撃を受けた理由は下記通りです:


・ほぼ無制限利用可能なリソース


・サーバ構造のため、広い攻撃面


・マルウェアの蔓延を可能とする構造


・安定したインターネット接続


・ホストベースマイニングで長期間のマイニングが可能


クラウドサーバを攻撃したクリプトジャッキング事件について以下のリンクで詳しく読むことが出来ます:


https://fortune.com/2018/02/20/tesla-hack-amazon-cloud-cryptocurrency-mining/


https://www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/coinminer-ddos-bot-attack-docker-daemon-ports


https://www.trendmicro.com/en_ca/research/19/f/cve-2019-2725-exploited-and-certificate-files-used-for-obfuscation-to-deliver-monero-miner.html


https://research.checkpoint.com/2020/the-2020-cyber-security-report/


https://unit42.paloaltonetworks.com/watchdog-cryptojacking/


https://azure.microsoft.com/en-us/blog/detect-largescale-cryptocurrency-mining-attack-against-kubernetes-clusters/


上記の報告によると、攻撃者がさまざまな方法を使ってクラウドサーバに侵入したと分かります。例えば、Check Point Researchが2020年の年次報告でKing Minerという仮想通貨マイニング用スクリプトをDDoSボットネットのソースコードと組み合わせてLinuxとWindowsベースのーバを攻撃したハッカーたちについて報じました。


別件の解析結果から、公開ディレクトリ上のファイルもクリプトジャッキングマルウェアに感染したと分かります。さらに詳しい解析で、このファイルはDockerデーモンの公開ポートを狙ってDocketサーバ上に仮想通貨マイニング用スクリプトを蔵置する目的で攻撃を実行したマルウェアであることが明らかになったのです。似たような事件で、攻撃者はCVE脆弱性を突いてWebLogicサーバを狙ったと分かります。また、Teslaの傘下企業であるAmazonAzure Kubernetesクラスターのクライエントのクラウドサーバの設定ミスが悪用され、クリプトジャッキング攻撃を被ったことも報告されています。確かに、Jayasinghe氏たちが重要性の高い業界を下支えるクラウドサーバインフラを狙うクリプトジャッキング攻撃事件が年々増加しつつあると指摘しています。


IoTボットネット:IoT端末は基本的な情報処理を行う計算性能の低いものです。2025年まではインターネットに接続したIoT端末の数が215億個に達すると見込まれています


MiraiボットネットのDDoS攻撃でも悪用されたセキュリティ基準の低い暗号技術、計算性能の低い機材とCPUを狙う、多数の端末を同時に感染する図りが多いでしょう。IBMの研究チームがは前述したMiraiボットネット由来のマルウェアがビットコインをマイニングするものと識別しました。そしてBertino氏たちはIoT端末で仮想通貨マイニングを行うように変貌させたマルウェアが数多く存在すると報告しています。Ahmad氏たちはクリプトジャッキング対策ツールとしてき軽量クリプトジャッキング検出システムを設計しました。


モバイル端末:携帯電話やスマホなどを狙うクリプトジャッキング攻撃事件の数も年々増加傾向にあります。この為、AppleとGoogleは仮想通貨マイニング用アプリケーションの配布を禁止することにしたのです。ところが、他のアプリケーション開発プラットフォームから手に入れることができます。Dashevskyi氏たちの研究がAndroid端末を狙うクリプトジャッキング攻撃を中心にしています。


一方、クリプトジャッキングの観点から見ると、モバイル端末の制限されたOS(アンドロイドやiOSなど)とハードウェアは仮想通貨マイニングにあんまり適していないこともあり、著しい負荷を与えるプロセスが端末のバッテリーを浪費したり、過熱の原因になってしまったりすることもよくあります。この為、モバイル端末がクリプトジャッキング攻撃の対象にあんまりならないのです。なお、モバイル端末を識別する技術を用いて仮想通貨マイニングを計算性能の低い端末で行わないように設定することが多いようです。その事例は以下通りです:



仮想通貨の種類


モネロ:他の仮想通貨に比べてモネロは多くのメリットを見せています。その為、攻撃者はクリプトジャッキング攻撃を実行するためにモネロをよく採用すると攻撃解析結果から分かります。モネロのマイニングを行う際、検証方法としてRandomXという計算手法、ハッシュ生成機としてCryptoNight関数が採用されており、L3キャッシュを搭載してないグラフィックボードや特定用途向け集積回路マイナーを利用してCPUより高い収益率を得られないのがコンシューマ向け端末を狙う攻撃者にとって魅力的な特徴です。なお、モネロのコミュニティがネットワークの分散性を確保するよう努力していて、小口マイナーもネットワークに容易に参加出来ることを優先に考えています。


上記の理由を考慮すると、ブラウザ埋め込み型マルウェアを使って攻撃を実行するハッカーにとってCPU以外のリソースにアクセスできないウェブブラウザにモネロをマイニングするスクリプトを届けるのが最も理にかなうでしょう。


第二にモネロは、暗号リング署名技術を採用することから匿名性の高い仮想通貨と考えられており、跡を残すことなく攻撃を実行したいなら好適な媒介物とされています。前述の特徴を理由に、ブラウザ埋め込み型マルウェアを配布しようと図るハッカーたちはよくモネロを選ぶのです。


ビットコイン:近年、ビットコインのマイニングが圧倒的な人気を集めてきました。その為、マイニングの難易度が爆増してしまいました。ビットコインの原始的なマイニング方法はCPUとグラフィックボードより収益性の高い特定用途向け集積回路やFPGA採掘機の普及に拍車をかけたのが原因と言われています。難易度の増加がCPUマイニングの収益下落とその後の自然淘汰をもたらしたのです。ビットコインのマイニングに対応するクリプトジャッキング用マイニングスクリプトを提供する開発業者が現在存在していないようです。一方、ホストベース攻撃の場合、被害者の端末の全ての計算リソースを利用することが可能であり、CPUやグラフィックボードなど性能の高い部分をビットコインのマイニングに悪用するとういうやり方がまだ考えられます。


他の仮想通貨:クリプトジャッキング攻撃を実行する為にPoW法を採用する仮想通貨が不可欠です。PoS法以外の仮想通貨の検証方法は計算リソースを必要としないため、分散型処理に基づいた攻撃に適しないのです。ビットコイン以外にビットコインキャッシュLitecoinEthereumもよくクリプトジャッキング攻撃の媒介物になると報告されています。なお、ブラウザ埋め込み型マルウェアに特化した仮想通貨も出現しつつあります。例えば、JSECoin、BrowsermineCoin、UplexaSumocoinElectroneumもこの目的で開発されています。


マイニングマルウェアの検出と対策


解析方法は従来の研究論文で動的静的方法の2種類に分けられています。何方もメリットとデメリットがあります:


静的解析方法:アプリケーションの振舞いを直接実行せずに解析する静的解析方法が幅広く使われています。静的解析に基づいたツールの多くは特定のキーワード、マルウェア署名やハッシュ値を探します。そして、クリプトジャッキング対策ソフトを含めたブラウザ拡張機能のほとんどがこの方法でマイニング用スクリプトの実行を検知し、解析結果から求められたブラックリストに含んだIPアドレスからへのアクセスを自動的に拒否するという流れになっています。しかし、この方法は静的であるため、動的な衝撃から被害者を守ることができないことも事実です。


動的解析方法:動的な解析を用いる際、マルウェアは外部から遮断された環境で実行されます。そしてマルウェアの性質を把握する為にその振舞いを描写する変数の全てが記録されます。マルウェア解析ツールが自動サンドボックス非自動サンドボックスを採用し、有害な性質を示すソフトを実行し、振舞いを観察します。動的解析方法として機械学習を使ってクリプトジャッキング用マルウェアを解析し、さまざまなデータセット、特徴と分類アルゴリズムを実現するツールがブラウザ埋め込み型マルウェアとホストベースマルウェアの攻撃の追跡を可能にします。


ブラウザ埋め込み型マルウェアを実行する為にJavaScriptエンジンが必要です。従って、JavaScriptコードの実行許可を外すことでウェブブラウザをクリプトジャッキング攻撃から守ることが出来るが、JavaScriptを無効にするとインターネットをスムーズに使用できなくなるという問題が生じまする。そして最後に、クリプトジャッキング攻撃防止機能を実現するウイルス対策ソフトも存在しています。ただし、そのソースコードと検出手法が非公開になっています。


追跡回避と隠蔽


仮想通貨マイニング用のマルウェアにとって被害者の計算リソースをできるだけ長く活用して仮想通貨をマイニングするのが一番の目的です。そのため、OSによる追跡を回避するのが最も重要で、検出・駆除を免れる為にソースコードの難読化も適用しているのです。


CPU使用率の制限:CPUの高使用率が全ての仮想通貨マイニング用マルウェアの共通している特徴であり、仮想通貨マイニングの作業をOSから覆い隠す目的でCPUの使用率を制限する手口がよく使われています。CPUの使用率を測って仮想通貨採掘マルウェアを検出するクリプトジャッキング対策ソフトにひっかからないのがメリットです。なお、サイト運営にあたって広告からの収入以外に仮想通貨マイニングからも収益を得ている運用者がCPUの使用率 に制限をかけることで使用体験を向上することが出来るのです。例えば、上の図でCPUの使用率を80%に制限されています。


外部ライブラリ:ソフトウェア開発にあたって外部ライブラリを使ってソースコードを最適化・合理化することがよく見られます。しかし、外部ライブラリをクリプトジャッキング攻撃を実行する目的で悪用する事件も報告されており、追跡を免れる為にウイルス対策ソフトにひっかからないよう仮想通貨採掘モジュールを外部ライブラリにおいて実装する方法も普及しつつあるようです。これは、中核となるソースコードにマイニング作業を披露するキーワードを置かず、有害なスクリプトの呼び出しのみを実装することでソースコード隠蔽を行うという方法です。


ソースコード難読化:クリプトジャッキング・マルウェアのソースコード難読化で、ブラックリストに基づいた静的検出手法から有害なソースコードを覆い隠すことが可能であり、この方法でソースコードをBase64など人間にとって意味不明な形に変換させると元の形に戻す為に解読ツールが必要となってくるというのがポイントです。仮想通貨採掘用スクリプトを提供する開発業者であるAuthedmineCryptolootはこのような技術に基づいたツールも開発しているようです。


バイナリー難読化:バイナリー難読化はソースコード難読化に似たような方法であり、過去の解析結果に基づいて作られたブラックリストを使用するサンドボックスの動的検出アルゴリズムにひっかからないよう実行可能なファイルを隠蔽するという方法です。しかし、ソースコード難読化はブラウザ埋め込み型マルウェアを覆い隠す為に用いられる一方、バイナリー難読化はホストベース攻撃を実行する時に使われるのが大きな違いです。UPXは人気を集めているバイナリー難読化ツールとして知られています。


マルウェア解析方法の特徴


提案されたマルウェア検出手法のほとんどが動的であり、特定の命令を繰り返して呼び出すパターンの識別によって仮想通貨マイニングを検出することが動的解析ツールで可能となります。具体的に言えば、暗号技術ライブラリを使用して、静的変数(ノンスなど)を繰り返して増やして新しい課題を受け取る為にサーバプロバイダに接続するというパターンが仮想通貨マイニングの最大の特徴です。これに基づいた動的解析方法を使用してクリプトジャッキングマルウェアのほとんどを容易に検出できるのです。他方、opcodesまたはWebAssemblyのような静的特徴による検出手法についての研究論文がまだ多くありません。


WebAssemblyとは、スタックベース仮想マシンを経て高速な計算を可能とする機械語レベルに近いレベルの低い命令セットです。よって、レベルの低い言語であるため、コード実行の最適化で高速実行に導き、仮想通貨マイニングに使用する場合はマイニング収益が上がるという効果もあるのです。現在、ほとんど全てのウェブブラウザがWebAssemblyの実行に対応しています。


opcodesとはシステムコールによって使用されることが多くOSによる情報処理を指導する機械語レベル命令のことを指します。Detecting Cryptomining Malware: a Deep Learning Approach for Static and Dynamic Analysisと題する研究論文でopcodesに基づいた静的解析方法が提案されました。ここでopcodesはIDA Proというソフトで抽出されました。クリプトジャッキング攻撃を解析する際、OSのカーネルとマイニング・スクリプトの間に生じる呼び出しに集中します。この方法で、Random Forest特徴づけ手法が用いられ、95パーセントの精度を得られたと報告されています。他方、動的解析方法も数多く提案されています。その中からいくつかを以下のリンクからアクセス出来ます:


RAPID: Resource and API-Based Detection Against In-Browser Miners


CapJack: Capture In-Browser Crypto-jacking by Deep Capsule Network through Behavioral Analysis


Outguard: Detecting In-Browser Covert Cryptocurrency Mining in the Wild


Browser-Based Deep Behavioral Detection of Web Cryptomining with CoinSpy


MineCap: super incremental learning for detecting and blocking cryptocurrency mining on software-defined networking


How You Get Shot in the Back: A Systematical Study about Cryptojacking in the Real World


The Browsers Strike Back: Countering Cryptojacking and Parasitic Miners on the Web


Detecting Covert Cryptomining using HPC


Web-based Cryptojacking in the Wild


動的解析手法の多くは以下の特徴の検出に基づいています:


CPUイベント:ブラウザ埋め込み型クリプトジャッキングにおいて、ハードウェアと関係なくCPUへのアクセスが必要となり、マイニング作業を検出する為にCPUイベントの解析を行うという方法が一般的です。例えば、ブラウザ内の情報処理を行う際、暗号化ライブラリに頻発にアクセスすることを異常挙動として検出し警告を発するツールも存在します。だが、CPUイベントのみの特徴に基づいた手法の誤検出率が高いという問題も あります。なぜならば、ブラウザ内フラッシュゲームや動画編集ソフトなどもCPUに大きな負荷を与えるため、マルウェアでないことに関わらず有害なソフトとして誤検出されるからです。その解決策として、複数の特徴を使用 することが勧められています。


メモリアクセスの解析:動的解析手法の多くはメモリへのアクセスを解析し、有害なパターンを検出すると警告を発するとういう方法を採用しています。


通信データの解析:クリプトジャッキング攻撃にあたってサービス・プロバイダとの大量データ通信を行う必要があり、通信されるパッケットの解析で仮想通貨マイニング・マルウェアの検出が可能となりま す。CPUイベントとメモリへのアクセスの解析に加えて通信データの解析も行う高度なクリプトジャッキング対策ツールも存在しています。他方、ネットワークパッケットのみ解析を行なってマルウェア検出を実現するツールについても報告されています。具体的に、Nero氏たちは通信データを特徴として使用しています。Caprolu氏たちはネットワークパケットの受信期間とパッケットのサイズに基づいた検出手法を提案しました。


JavaScriptコンパイルと実行時間Outguard: Detecting In-Browser Covert Cryptocurrency Mining in the WildCoinPolice:Detecting Hidden Cryptojacking Attacks with Neural Networksと題する研究論文でクリプトジャッキング攻撃がJavaScriptエンジンのコンパイル時間と実行時間に影響を及ぼすことが明らかになりました。とは言っても、フラッシュゲームやオンライン動画編集ソフトなどもJSエンジンに大きな負荷を与え、この方法の誤検出率が高いという点が問題視されます。解決策として、Outguard: Detecting In-Browser Covert Cryptocurrency Mining in the Wildで付帯的特徴としてCPU使用率、ガベージコレクタ とiframeリソースを使って誤検出率を減らし高精度な結果を得るという方法が提案されています。ガベージコレクタとはJavaScript言語が備えた機能であり、メモリ利用の最適化を導き、不要になったものを自動的に解放することで空き領域を作ってくれる便利なツールです。なお、仮想通貨採掘作業中に、CPUとメモリの間に特定のパターンの情報通信が行われます。マイニング・プール経由の仮想通貨マイニングにあたって、サービス・プロバイダ からの依頼の応答としてハッシュ関数の値が返されるのです。通信後、不要になったハッシュ値はすぐ放されるのでガベージコレクタが異常挙動を見せ、このパターンを解析するとマルウェア検出手法を設計できるというのがポイントです。


iframeとはHTMLタグであり、追加機能を実現する目的でソースコードをHTML文に埋め込むことを可能にする技術です。仮想通貨採掘用スクリプトもiframeを使って埋め込まれることが多いようです。前述した特徴と同様に、クリプトジャッキング攻撃はiframeリソースの使用率の異常な変化を引き起こすのです。ただし、今は多くのブラウザ拡張機能もiframeに基づいた技術を適用しているので、iframeの使用率の解析のみを特徴としてマルウェア検出アルゴリズムを設計するのが誤検出率が高くなるため、あんまり勧められていません。


ハードウェアパフォーマンスカウンタ(HPC)HPCとはモダンなCPUが情報処理を行う際に生じるCPU内イベント(cycle、cache missなど)を記録する機能のことを言います。環境変数などを保存するカウンタと記録された命令を解析すると実行中のアプリケーションの挙動を露わにすることが出来ます。この手法に基づいて仮想通貨マイニング・マル ウェアを検出するツールについての研究論文が出現しつつあります。


システムコール:システムコールとはOSのカーネルとその上の層に実行されるアプリケーションの間の関数呼び出しを実現するAPIのことを言います。全てのシステムコールの実行権がレベル0にあり、OSのカーネルからサービスへのアクセスを依頼するという仕組みになっていますDetecting Cryptomining Malware: a Deep Learning Approach for Static and Dynamic Analysisと題する研究論文で、Cuckoo Sandboxを使ってシステムコールを記録する動的解析手法が提案されています。この論文の筆者が深層学習アルゴリズムでシステムコールのアクセスパターンを解析して99パーセントの精度を得られたと報告しています。


分類と性能


マルウェア解析にあたって、抽出したデータを分類し、Support Vector Machine (SVM)Random ForestNeural NetworkDecision Treeなどの機械学習分類モジュールが学習させれます。なお、Neto氏たちはアンサンブルの分類確率を特徴として用いる増分学習アルゴリズムを設計しました。Hong氏たちは閾値に基づいた検出方法を提案しました。MineSweeper: An In-depth Look into Drive-by Cryptocurrency Mining and Its DefenseSEISMIC: SEcure In-lined Script Monitors for Interrupting Cryptojacksと題する研究論文でスクリプトの中の関数を静的な手法によって検出する手法について報告されています。これらの方法で100パーセントに近い精度が得られています。


オープンソース実装


以下の研究結果はオープンソースになています:


MineSweeper: An In-depth Look into Drive-by Cryptocurrency Mining and Its Defense


Outguard: Detecting In-Browser Covert Cryptocurrency Mining in the Wild


How You Get Shot in the Back: A Systematical Study about Cryptojacking in the Real World


SEISMIC: SEcure In-lined Script Monitors for Interrupting Cryptojacks


https://github.com/retrocryptomining/data


マルウェア検出方法の多くは攻撃をかわしたり、実行中のマルウェアを強制終了させたりすることが出来ません。とは言っても、以下の研究論文で検出方法とマルウェア防止策について詳しく読めます。


MineThrottle: Defending against Wasm In-Browser Cryptojacking


Mitigation of Cryptojacking Attacks Using Taint Analysis


CMBlock: In-Browser Detection and Prevention Cryptojacking Tool Using Blacklist and Behavior-Based Detection Method


Yulianto氏たちは警告を発する方法を提案しました。Bian氏たちはマイニング作業を一旦停止させる方法について記述しています。Razali氏たちの方法が強制終了を試みる、等々です。


クリプトジャッキング攻撃防止を実現するコマーシャル製品はいくつか存在しています。人気を集めているのはAvastNortonです。ブラウザ埋め込み型クリプトによる攻撃をかわす為にNoCoinMinerBlockというオープンソース拡張機能がおすすめだそうです。これらの方法は、ブラックリストに基づくものであり、リスト上に掲載されたドメインを訪問する際、警告が発さられるというマイニングマルウェア対策ソリューションになっています。


ところが、ブラックリストのみの対策方法は効果的ではありません。なぜならば、攻撃を図るハッカーたちはドメインフラックスの手口でブラックリストによる検出を免れることができるからです。残念ながら、最適化された動的ブラックリストを採用する手法であってもドメインフラックスと効果的に戦えると言えません。


結論


2020年の報告書で、現在、クリプトジャッキング攻撃を実行するマルウェアの多くは利潤最大化を図り、一般利用者のパソコンやブラウザより計算性能の高い社内サーバを対象にする傾向が見られています。


設定ミスで侵害しやすくなったIoT端末やDockerエンジンなどを狙う事件が頻繁に起きているようです。なお、Coinhiveのマイニング用スクリプトではなく、xmrigのソースコードを書き換えてモネロを採掘するという方法も普及しつつあります。


仮想通貨の種類について、Monero以外の仮想通貨はほとんど使用されず、CPUマイニングに対応しているモネロがクリプトジャッキング用仮想通貨として一番人気を集めている種類として考えて良いです。



英文からの翻訳:LBより




コメント (0)


記事特選