ハッキングされたPCが勝手にモネロ採掘をする脅威

Translate this article into English

2018年5月最新! ▼当サイトで申込みが多い取引所

【1位】「GMOコイン」【10ヶ月連続1位!レバレッジ取引で人気!】

【2位】「bitflyer」【日本最大級取引所・人気No.1】

【3位】「ビットバンク」【セキュリティ対応No.1】

シェアする

どのようにしてハッキングされたウィジェットが、犯罪者のモネロマイニングを手伝うか

隠れた仮想通貨マイニング(採掘)が新しいサイバー犯罪の主流になりつつある。ハッカーはサーバー、個人のコンピューター、それから携帯のディバイスを乗っ取り、被害者が気付くことなく、感染させたホストのCPUやGPUを仮想通貨の生成に利用する。

たくさんのゾンビマシーンで構成されるボットネット(サイバー犯罪者が悪意のあるプログラムを使って乗っ取ったコンピューターで構成されるネットワーク)ですら、スパムやDDos(distributed denial of service attackの略。コンピューターに複数のマシンから大量の処理の負荷をかけることで、サービス機能の停止へ追い込むこと)攻撃を吐き出すより、大規模の違法なマイニング活動の実行に今は使われている。

コインハイブ(Coinhive)のようなブラウザ内で採掘をするプログラムの出現で、この悪意ある金儲けをしている犯罪者たちは勢いがついている。

下記の最近起こった事件は、いかにこの問題が深刻になってきているか、いかに偽造されたウェブサイトのウィジェットが悪人サイドの手の中にあるかを表している。

BrowseAloudソフトウェア・ハックは数千のサイトを攻撃

強大なクリプトジャッキング(cryptojacking。所有者の気づかぬ間に違法にコンピューターを乗っ取って、仮想通貨の採掘をすること)は、2018年2月11日にBrowseAloud(ブラウズアラウド)と呼ばれる人気のあるソフトウェアを悪用した。

犯罪者は匿名のモネロ(Monero)採掘者を、イギリスやアメリカ、オーストラリアの政府のウェブサイトのような人目を惹くものも含めて、4,200以上のインターネットリソースに注入できた。

このハッキングの影響で、悪意のあるスクリプトは仮想通貨の採掘のために、訪問者のパソコンの処理能力を本人に気づかれずに利用した。

誤解のないよう言っておくと、Texthelp社によるBrowseAloudはスピーチ、読み上げ、翻訳機能を介してよりたくさんの利用者のために、ウェブサイトの利便性を高めるためにデザインされたツールである。

このソフトウェアをサイトに加えると、失読症、視覚的な障害をもつ人々、英語の読解力の低い人々が最大限にサイトのサービスを利用することができる。

さらに、このソフトウェアはサイトオーナーがさまざまな法的義務に適応することを手助けするので、世界中で広く使われており、それがハッカーのターゲットになったことも不思議ではない。

セキュリティ・アナリストの発見によると、この悪党たちは何らかの手口でBrowseAloudのJavaScriptのコンポーネントに不正アクセスし、それによってこのソフトウェアを使って、不明瞭なコインハイブのブラウザ内採掘コードをたくさんのウェブサイトに埋め込んだ

被害を受けた特筆すべきサイトには、アメリカ合衆国裁判所事務局(uscourts.gov)、オーストラリアのクイーンズランド州行政機関(legislation.qld.gov.au)、イギリスのマンチェスター行政機関(manchester.gov.uk)、イギリス医療行政機関(gmc-uk.gov)、スコットランドの国民健康情報サービス(nhsinform.scot)などが含まれている。悪意のあるスクリプトの宿主サイト数の合計は4,275に達している。こうして、Texthelp社の公式サイトはそのサイト上で同時に採掘をさせてしまった。

このハッキングが発覚した後、Texthelp社はカスタマーへのさらなる被害を回避するために、一時的にこのソフトウェアをオフラインにした。2月15日付でこの侵害は対処されたと報告があり、サービスは復旧し通常通り稼働している。

このクリプトジャッキング・スクリプトは、おそらくたくさんの危険信号が出ないように、訪問者のコンピューターのCPUを40%消費するように構成されていた。

この攻撃者のコインハイブ・ウォレット・アドレスは特定されているが、ビットコインとは違って、このサービスは、どれだけのモネロを抱えているか見ることができない。

それゆえ、BrowseAloudハックの下で、悪人グループによって掘られた仮想通貨の総数は謎のままである。

ブラウザ内マイニングに悪用されたLiveHelpNowウィジェット

サイトのウィジェットを含むもう一つのクリプトジャッキング・キャンペーンは昨年のサンクスギビングデー(2017年11月23日)に始まった。

悪人サイドはコインハイブのマイナーを人気のあるチャット・ウィジェットであるLiveHelpNow(ライブヘルプナウ)のJavaScriptのモジュールの一つに注入した。

このウィジェットはエバーラスト(Everlast)やクルーシャル(Crucial)のような小売店を含む、e-コマース(電子商取引)リソースによって広く使われている。

特に、ブラック・フライデー(アメリカの感謝祭である11月の第4木曜日の次の金曜日。クリスマスセールなどの開始日)とサイバー・マンデー(アメリカの感謝祭の次の月曜日。オンラインショップのセールの開催開始日)に備えて、加害者の立役者が揃えられた。この日は、たくさんのユーザーがお得な商品を探したりなどで、オンラインショップを利用する日である。

さらにこのセール期間中は、管理者は自分たちのサイトを、この種の悪意のある活動のために詳細にモニタリングすることは起こりえない。

LiveHelpNowウィジェットの有害なコピーの中に隠されたコインハイブ・スクリプトは、サイト訪問のCPU使用率をピークにし、インターネット接続の間100%を保つように仕向ける。

興味深いことに、マイナーはランダムに稼働するよう構成される。つまり、すべてのユーザーが感染したウェブサイトに行き、直ちに隠されたマイニングに加わるわけではない。いくつかの事例では、その悪党のスクリプトを開始させるためにページのリフレッシュが必要とされた。

この選別されたアプローチの理由は、間違いなく、現在進行形のクリプトジャッキングへ過度な注意が向くのを避けるためである。

ソースコード検索エンジンPublicWWWによると、このキャンペーンが始まったとき、有害な ‘lhnhelpouttab-current.min.js’ スクリプトが1,400以上のウェブサイトで稼働していた。

この侵害のソースについては詳細情報がほとんどない。この証拠のなさは、一人のLiveHelpNow社員によってなされた内部の犯行だという、ハッキングについての憶測を生んだ。

いずれにしても、悪党にかなりの量のモネロをもたらしたに違いない、うまく仕組まれたハッキングである。

いかに安全でいるか

これは重要な問いである。クリプトジャッキングはもともと人目に付かない。だから、消費者がこのタイプの攻撃を知る唯一の方法はCPU使用率をモニターすることである。-もし、それがずっと上昇しているなら、それは危険信号である。ここに防御することができる、効果的に機能するいくつかの方法を挙げる:

  • 自動的にすべての既知のJavaScriptマイナーをブロックする、ブラウザのエクステンションをインストールすること。minerBlock と No Coinなどの、いくつかの人気のあるアドオンは有能である。
  • ほとんどの広告ブロック機能はブラウザ内のマイニングを止めるだろう。しかし、創造力を持ったハッカーは広告ブロック機能を迂回して、あらゆる可能な方法を使う。
  • アンチ・クリプトジャッキングの特徴を備えた、信頼のおけるインターネットセキュリティ一式を使うこと。
  • 悪党マイナーはよく、キーロガー(キーの入力を保存するプログラム)と他のマルウェアと一緒に侵入するので、知らないネットワークに接続するときは、信頼のおけるVPNサービス使用することが推奨される。
  • 既知の脆弱性が解決していることを確認するために、オペレーティングシステムをつねに最新にアップグレードすること。そうすればサイバー悪党がいつのまにかマイナーを注入するのにそれらを利用できない。

ホームページ管理者は、自分たちのサイトが気づかぬうちにクリプトジャッキングに加担していないことを確認する、次のテクニックの合わせ技の採用を考えるべきである:

  • SRI(Subresource Integrity)は、サイトにロードされたコンテンツが第三者によって修正されていないかを検証するセキュリティ機能である。どうやって機能するかを説明すると、ウェブサイトの管理者は特定のスクリプトからのハッシュを指定する。もしこのハッシュと、該当するコンテンツ・デリバリー・ネットワークより支給されたものが一致しなかったら、SRIの機能は自動的にこの不正のスクリプトを排除する。
  • CSP(Content Security Policy)はセキュリティの基本であり、ウェブサイトのすべてのスクリプトがそれぞれに割り当てられたSRIハッシュを持つことを必項としている。SRIとCSPの合わせ技が、感染したウィジェットがウェブサイトで稼働すること防ぎ、その監視によって不正な仮想通貨の採掘を止める。

さいごに

このような仮想通貨の採掘は違法以外のなにものでもない。誰かが他人のコンピューターを、本人が知りえないところで同意なしに、デジタルコインを掘るために使うなら、それは重罪である。

ブラウザ内のマイニングは、ウェブサイトの管理者にとって、訪問者を収益に変える良い方法であるが、それはまた犯罪を誘発する。

BrowseAloud やLiveHelpNowのように、サイトのウィジェットは大規模なクリプトジャッキングに悪用されうる、手の届きやすい場所になっている果実である

Monero(モネロ)とは?基本情報 モネロは匿名性に特化した暗号通貨です。同じ匿名性を持つ通貨は他にもDASHやZCashなどが...

How Hacked Widgets Help Criminals Mine Monero