Cyber Threat Allianceが不正な仮想通貨マイニングの分析結果を発表

Cyber Threat Alliance(CTA)は、2017年第4四半期の仮想通貨マイニング攻撃の爆発的増加を受け、脅威を評価するための仮想通貨マイニングに関するサブコミッティを発足させました。同コミッティは、マカフィーをはじめとする主要なサイバーセキュリティ企業の専門家で構成されています。同コミッティはこのほど、違法な仮想通貨マイニングの現状に関する調査分析報告書The Illicit Cryptocurrency Mining Threat(不正な仮想通貨マイニングの脅威)」(英語)を公表しました。リポートでは、仮想通貨マイニング型のサイバー攻撃の増加の背景、攻撃の影響、奨励される保護措置、将来攻撃がどう高度化するかについての予測について説明しています。CTAのメンバーとして、そしてサイバーセキュリティコミュニティの一員として、個人・企業がサブコミッティの調査結果を利用することによって、この脅威から身を護り、グローバルセキュリティを向上させるよう願っています。


不正な仮想通貨マイニングの増加

仮想通貨マイニングの脅威を理解するためには、仮想通貨マイニングに関する事件が急増した2017年後半~2018年初頭に戻る必要があります。2017年以来、多くのCTAメンバーが報告したデータを合算すると、検知されたマイニングマルウェアは459%も増加しています。

図1 2014年~2018年仮想通貨マイニングマルウェア検知数、CTAメンバーからの情報提供による
(図表番号は順不同。数値はCTA報告書による)

マイニングマルウェアの増加は、仮想通貨の価値の上昇と相関関係にあります。たとえば、2017年後半にBitcoinの価値1コイン=20000米ドルに達し、その高価値がサイバー犯罪者を引きつけ、仮想通貨は通貨の歴史で例がない劇的な変動を経験しました。サイバー犯罪者は仮想通貨に真っ先に順応し、闇の経済をあおるために利用しています。他人のコンピューターのパワーを盗んでマイニングを行い、資金を集めるこの方法は「クリプトジャック」とも呼ばれることもあります。


仮想通貨とマイニング

仮想通貨は、従来の電子マネー(eマネー)に代わって急速に普及しました。電子マネーは、米ドルなどの法定通貨に基づいています。 最も一般的なものはプリペイドのクレジットカードで、現金がなくてもお金の代わりとして通用します。仮想通貨は法定通貨によって信用が与えられたものではありません。実際、仮想通貨は分散型、すなわち権限の中心が存在しないと考えられています。

プライバシーと匿名性に関していえばモネロはビットコインに比べ利点がありますが、これが攻撃側にとっては好都合なのです。匿名性以外にも、モネロのマイニングに必要なリソースはとても少ないため、より多くのユーザーの参加を促しボットネットの収益性を高めています。

コインを生成することをマイニングと呼び、これには複雑な数学的問題を解決するためのシステムリソースが使われます。大部分の主要コインは、CPUリソースを使って解決する「プルーフオブワーク」(実証作業)を採用しています。ボットネットなど大規模なマイニンググループは、一つの問題にリソースを集約するプールマイニングを実行できます。マイニングによって数学的な方程式の解が求められ、新たに発行されたコインがシステムに戻され、新しい取引が検証されます。


不正な仮想通貨マイニングの現状

昨今の不正な仮想通貨マイニングは、コンパイラーによって生成された実行可能ファイルを通じて行われます。この方法は、バイナリベースのマイニングと呼ばれています。ブラウザーの文脈ではブラウザベースのマイニングと呼ばれます。バイナリベースの仮想通貨マイニングマルウェアは、多くの場合、スパムやエクスプロイトキットを使ったペイロードとして配信されます。オープンソースのツールは、しばしばマイニングを容易にします。XMRigはモネロをマイニングするための正当なツールですが、悪意のあるアクターによって不正な仮想通貨マイニングにも頻繁に使用されています。

図7 2017年のXMRigを利用した大規模なバイナリベースの仮想通貨マイニング攻撃でのテレメトリ Palo Alto Network提供

最も一般的なブラウザベースのマイナーはCoinhiveです。合法的に使用される場合、Coinhiveはシステムリソースを収益化できるため、広告収入の代替策になり得ます。しかし実際には、ユーザーに通知することなく使われるという事態が蔓延しています。サービスのオーナーがマイニングコードを認識していないというケースもままあります。最近では、Facebook MessengerStarbucksWi-Fiへの攻撃がそのケースでした。72日の時点で公共ネットでは少なくとも23000WebサイトがCoinhiveコードをホスティングしています。

あるウェブサイトに埋め込まれたCoinhiveスクリプトの事例

ブラウザーを使用してシステムリソースを収集する以外の方法でも、マルウェア作成者はますます高度化しています。EternalBlueのように良く普及している脆弱性を利用して増殖し、また検知されないためにも他の手法を用いるのです。Smominru攻撃は、このアプローチを活用して利益を得たのです。彼らは環境寄生型(living off the land)手法を用いて 検知を避けつつモネロをマイニングする能力を増大しました。


不正な仮想通貨マイニングの被害

仮想通貨マイニングは組織やユーザーのセキュリティに短期的にも長期的にも被害を与える可能性があります。

  • 潜在的なセキュリティ上の欠陥が新たな攻撃を招く可能性
  • 物理的ダメージ
  • 業務や生産性への影響

デバイスが許可なく使用される場合、対処を必要とする潜在的なセキュリティ上の欠陥があるといえます。2017年後半、FTPを使ったデバイスの誤設定のせいで、消費者向けデバイスを使用する数十万人のモネロのマイナーが被害を被りました。この欠点はシステムへの追加的攻撃に悪用が可能で、実際悪用されたのです。

物理的ダメージもまた深刻です。マイニングのためにCPUを集中的に使用すると、余分な熱と電力が消費されます。小型デバイスの場合、すぐに問題となるのはバッテリの寿命ですが、大規模なシステム、特にデータセンターでは、コンポーネントの障害率が増大するおそれがあり、システムに大きな影響を与える可能性があります。最終的には、過重になった負荷を維持するため、高額な修理代の支払いや、ハードウェアの増大が必要となりかねません。

ビジネスの業務も打撃を受けるでしょう。公共事業性の高いマスコンピューティングのプロジェクトに参加しても同じような問題が発生します。タンパク質の理解を目的とした医学研究プロジェクトFolding @ Homeでは、ソフトウェアをインストールすれば、同研究支援のため、自分のコンピュータリソースを活用してもらうことが可能になります。しかしこういったプロジェクトに参加するとビジネス業務で生産性の低下や追加的コストの影響が出る可能性があります。多くの企業では、想定外のコストや障害を阻止するために、こうしたタイプのコンピューティングプロジェクトのインストールを禁止しています。


奨励されるベストプラクティス

幸いにも、仮想通貨マイニングの防御策は、ほかの脅威への対抗措置と非常に似ています。仮想通貨マイニングマルウェアは同じツールと方法を使用しており、セキュリティのベストプラクティスを実践することはとても効果的です。これには、通常とは異なるネットワークトラフィックの分析、システムの適切な設定と修正が含まれます。仮想通貨マイニングに限った追加的な方策は以下の通りです。

  • 異常な電力消費とCPU動作の監視
  • Crypto、CoinhiveXMRMonerocpuminerなどマイニング系に関連するログの探索
  • マイニングプール交信をブロックする
  • ブラウザー拡張を使用し、ブラウザベースの仮想通貨マイニングを防御する

奨励されるSnortルールなど、さらに詳細についてお知りになりたい方は、報告書の「推奨ベストプラクティス」のセクションを参照下さい。


不正マイニングの高度化

不正な仮想通貨マイニングはビットコインの価値と正比例しています。ビットコインのような仮想通貨が価値を持っている限り、利益を得ようとする悪意の者がマイニングを続けることを覚悟しなければなりません。ビットコインのように公開されている仮想通貨の場合は貨幣価値に密に縛られている一方、プライベートもしくはカスタムなブロックチェーンはリスクにさらされており、先々の攻撃に備える必要があります。

図13 データは2018年1月以降のバイナリベースの仮想通貨マイニングマルウェアのパーセンテージとビットコイン価格の間に正の相関関係があることを示しています。モネロの価格とマイニングマルウェアの間にも同様の相関関係が示されています(この図には表示なし)

プライベートブロックチェーンには、通貨とは無関係なものも含め、独自のリスクが伴う可能性があります。 ビットコインのような大きなブロックチェーンは、元帳データの履歴を変更するのが困難なため、ずっと改ざんすることはできないと考えられていますが、プライベートブロックチェーンは本質的に規模が不足しているため、攻撃を受けやすいのです。「51%攻撃」はよく知られた脅威で、ネットワークが小規模であることにつけ込み、ブロックチェーンの完全性に深刻な影響を与えることができます。

いくつかの国では既に経済問題を解決するために仮想通貨を導入していますが、マカフィーが報告書で明らかにしたように、収入を得るために不正なマイニングを行う国家が出てくる可能性があります。既に国家の支援を受けた仮想通貨窃盗については当社の2月公開のブログ記事(翻訳版)で報告しています。正当にマイニングされた仮想通貨が、国が支援したサイバー攻撃をうやむやにするために利用され、VPNアカウントの購入、サーバー、ドメイン登録を隠すのに利用されてきたのです。


結論

「不正な仮想通貨マイニングの脅威」は、企業や消費者に仮想通貨マイニングの脅威が高まっていることについて周知する業界初の共同イニシアティブです。セキュリティポスチャーを改善し、適切なセキュリティ対処を行うことが、これらの攻撃の実行を困難にし、悪意のある行動を阻止することにつながります。不正な仮想通貨マイニングは一時的なトレンドではありません。この問題は、仮想通貨の価値の上昇に伴って増大するでしょう。現在の感染方法は、新しい技術や悪用へと進化するでしょう。仮想通貨が普及するにつれ、仮想通貨を盗む誘惑にかられプライベートなブロックチェーンへの攻撃を開発する者が増えるはずです。不正な仮想通貨マイニングの脅威に関する詳細は、調査結果の主要点の要約を紹介するブログ(英語)、およびリポート全文(英語)をお読みください。

※本ページの内容は、2018919日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Cyber Threat Alliance Releases Analysis of Illicit Cryptocurrency Mining
著者:Charles McFarland