仮想通貨の採掘をボットでおこなう「クリプトマイニング」に備えよ

ランサムウェアの次はクリプトマイニング

　ハッカーは常に攻撃の機会を狙っています。デバイス・メーカーが、スマホやタブレット、あるいは企業のクラウド・サーバに搭載するCPUコアを増やし、RAMのギガバイト数を増やすほど、ボットネットにとって有利な標的も増えます。その上、ネットワークがセキュアでなければ、ハッカーはデバイスの脆弱性を探し、モバイル・アプリ／デバイスを攻撃します。

　ランサムウェアは、脆弱性を悪用して身代金を要求する簡単な方法として、ダーク・ウェブで大流行しました。これに伴い、クリプトカレンシー（暗号通貨）市場も注目を集め、大成長を遂げました。クリプトカレンシーのマイニング（採掘）、すなわちビットコイン取引を確定し、新しい単位のデジタル通貨を生成することは、完全に合法です。競争の激しいモバイル・アプリ市場で収益を得る方法を模索する開発者にとって、アプリによるビットコインのマイニングは魅力的な手段です。しかし、自分のデバイスがデジタル通貨のマイニングに利用されていることをユーザが知らないとなれば、そこから収益を得るのは法的および倫理的に問題です。

　iPhone旧機種の性能低下に関して、Apple社を相手取った最近の訴訟は、クリプトカレンシーマイニング訴訟の判例となるかもしれません。Apple社が無意識にiPhoneの性能を低下させたというユーザの主張が通れば、性能とバッテリー寿命に影響を与えるマイニング機能を無意識にインストールした開発者も責任を問われるでしょう。

　この脅威は今後も継続し、ランサムウェアと同様に広く蔓延すると見られます。たとえば、信頼性の高い指標によれば、ハッカーが侵入時に身代金を要求しないまま、旧い脆弱性を悪用してビットコインを生成しています。プールが小さくなれば、マルウェアをDDoS攻撃の手段として使用するなど、マイナーは別の方法で価値を引き出すことに集中します。

このように感染したモバイル・アプリやウェブ・ブラウザの悪意性については議論が必要ですが、ランサムウェアやアドウェアと同程度の影響力を持つ新しい形のマルウェアが誕生しようとしていることは確かです。そして、強固なセキュリティと監視の戦略に加え、ネットワーク可視化によってアプリケーションやコンピュータを保護しなければ、誰でもクリプトカレンシーマイニングの被害者になっておかしくありません。

モバイル時代のマイニングマルウェア

　モバイル時代では、クリプトカレンシーマイニング・マルウェアが最大限に悪用される機会が生じます。クリプトカレンシーマイニングでデジタル・コインを得るには、大きなCPU処理力が必要です。情情報のマイニング作業にかかる電力にも、処理力にも、データにもお金がかかります。

　研究によれば、すでにネット上には多様な悪意あるAndroidアプリが出回り、一部のクリプトマイナーは審査をくぐり抜けてGoogle Playストアにまで到達しています。モバイル・マルウェアに関する最近の統計分析では、ロシアの開発者に属する多くのクリプトカレンシーウォレットやマイニングプールアカウントが見つかりましたが、彼らはまったく合法的な手段でお金を稼いでいると主張しています。

　業界はこれに同意しません。クリプトカレンシーのマイナーはユーザのデバイスを不正に利用しているのです。技術的には合法ですが、クリプトカレンシーの抽出が公表されている場合、その行為は意図的に紛らわしく表現され、透明に情報を公開していない場合がほとんどです。

　Androidストアで提供されている合法的なアプリケーションにクリプトカレンシーマイナーが組み込まれ、持ち主がスマホを使用していないときに、そのスマホから価値を引き出しているケースも発見されています。ここ数カ月には、ウェブ・ブラウザのウィンドウを閉じた後でハッカーがクリプトカレンシーをマイニングしている例も見つかりました。

　このほかハッカーが使用するクリプトカレンシーマイナーの拡散方法としては、Telnet/SSHブルート・フォース攻撃によるマイナーのインストール、SQLインジェクション、マイナーの直接インストールなどがあります。ブラウザとモバイル・アプリにおけるクリプトマイニングは、今後も続くでしょう。被害が心配な企業には、セキュリティ性能を上げ、アプリケーション・レベルの可視化機能とコンテキストを監視ツールに装備することをお勧めします。

デバイスが増えればマイニングも増える

　新しいセキュリティ脅威は毎週のように現れているため、近い将来、クリプトカレンシー・マイニング・マルウェアに感染するデバイスは増える可能性があります。IoTデバイスの普及は、クリプトカレンシーマイナーの新しい標的を生み出します。まずランサムウェア、次にクリプトコインマイナーで、同じコンピュータから2回も利益を得るハイブリッド攻撃が現れる可能性もあります。

　このようなクリプトマイニング攻撃のほとんどは、ネットワークのエッジで発生しています。昨年夏に拡散した脆弱性攻撃「EternalBlue」は、クリプトマイナーをインストールする非常に一般的な攻撃であり、「WannaCry」、「Not-Petya」など大規模なランサムウェア攻撃の中核となりました。最悪なのは、ハッカーがクリプトカレンシーマイナーの拡散に新しいツールや高度な方法を使わず、なおかつ成功していることです。したがって企業は、敏速なパッチ管理戦略、IPSルールの随時更新、即座にパッチできない脆弱性を検出するためのテストを実施し、締めくくりとしてネットワーク・トラフィックにピア・ツー・ピアのマイニングトラフィックがないか監視する必要があります。

　ネットワークを把握していなければ、エンドポイントが許可なくマイニングされ、侵害によってデータを漏洩し、社内ネットワーク全体にマルウェアを拡散していても、知るすべがありません。あるいは、悪意ある行為が何も行われていないことを確認するのもやはり重要です。ネットワーク監視ソリューションがあれば、ネットワーク・トラフィック・パターンの変化を検出し、早期に侵入を警告してくれます。