オリジナルの記事はThreatSTOP社のセキュリティ・リサーチャーDror Av.が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/all-up-in-your-browser-stopping-cryptojacking-attacks
急速に広まるクリプトジャック攻撃
ビットコインなど仮想通貨の価値の急激な高まりに乗じて、サイバー犯罪者達も仮想通貨に狙いを定めています。急成長している攻撃の種類の1つが、勝手に他者のマシーン上で仮想通貨のマイニングをするものです。特に、Webサイト訪問者のブラウザーをマイニングに使用するというものが増えています。ニュースサイトがこれをWebサイトやブログのマネタイズの方法の一環として使用していることすらあります。「ビットコイン」の効果的なマイニングのためには、特別なハードウェアが必要となることから、犯罪者達は「Monero」をマイニングする通貨として狙いを定めています。
この攻撃の人気が急激に高まっているので、企業にとっては会社規模に関わらず、自社を守る手立てをうつことが必要です。
一般的に、セキュリティ対策製品は純粋にマルウェアの振る舞いに注目しています。しかし、上記で説明したような攻撃は、それ自体は悪意を持ったものではありません。(単に、ニュースサイトやブログサイトがマネタイズしようとしているのかもしれません)そして、完全にそのサイトやブログの閲覧を遮断したいわけでもありません。
ですが、これらの攻撃と戦うための手段が必要ではないでしょうか。
クリプトジャックの歴史
ブラウザーをベースにしたマイニング(=クリプトジャック)、という考えは決して新しいものではありません。恐らく皆さんが考えているよりも古いものです。
2011年までさかのぼります。まだビットコインが出来たてで、1コインが7ドルだったころです。当時、マイニングはもっと簡単で、シンプルでした。BitcoinPlus(https://web.archive.org/web/20110825204146/http:/www.bitcoinplus.com:80/howbitcoinworks)は既にブラウザーベースのスクリプトを使用したマイニングツールを提供していました。悲しいかな、ビットコインのその後の成功とビットコイン専用に作られたASICの登場で、ブラウザーベースのビットコインマイニングの手法が使われた時代は長くはありませんでした。
しかし、何百もの仮想通貨が他にも登場した今、攻撃者たちにとっては豊富な選択肢が出来た、と言わざるを得ません。
Moneroが狙い 現代のクリプトジャック
過去の失敗から学び、Coinhiveのようなサービスは、もはやビットコインをマイニングしようとは考えていません。その代わりに狙っているのが別の仮想通貨Moneroです。家庭で使用されているPCのCPUでもマイニングできる、よりシンプルな設計のためです。想像通り、Moneroはダークウェブの市場で人気を獲得しています。トランザクションのプライバシーの面でも、Moneroは人気です。他の仮想通貨のトランザクションはブロックチェーンに保存され、ブロックチェーンが存在している限り、そのトランザクションは誰にでも見ることが可能です。しかし、Moneroはトランザクションを効果的に隠しているので、Monero walletとのやりとりはプライバシーが保たれ、かつ匿名化できるのです。
初めてこの手法を取り入れた人気サイトは、The Pirate Bayでした。かなりのトラフィックのある、ストリーミングサイトです。サイトのオーナーはCoinhiveのアドバイスは重要視せず、ユーザーのCPUを勝手に使用してマネタイズしているということは、ユーザーに明示していませんでした。Pirate Bay(海賊の港)という名前だったことは、なんとも皮肉な話ですね。言うまでもなく、このことはユーザーにとって歓迎すべきことではありませんでした。The Pirates Bayに続き、攻撃者たちはLiveHelpNowウィジェットを使って、マイニングの活動をより活発化し、その結果他の多くのサイトも同じ手法を取り入れ始めてしまっています。
[RELATED_POSTS]
クリプトジャックの対抗手段:ThreatSTOP脅威インテリジェンス
企業は、直ぐにこれらの脅威に対応しなければいけません。
DNSもしくはFirewallを活用することで、仮想通貨のマイニングが実行される可能性を無くすことができます。
ほとんど全てのクリプトジャックの手法で、何かしらのマイニングプールを使用することになり、それにはマイニングのデータを取ってくるために、“どこか”にアクセスをする必要があるためです。もし、その“どこか”へのアクセスをDNS RPZや名前解決で止めることができれば、マイニングが実行されることはなく、通常通り業務を行なうことができます。
その他のセキュリティツールで防御できないのか、と言うと従来型のエンドポイント製品は、マルウェアを検知しますが、この攻撃ではマルウェアは使用されていないので止めることは難しいです。一部の製品はマイニングの振る舞いを検知するかもしれませんが、ほとんどの製品はネットワーク技術をベースとしており、やはり難しいでしょう。
マイニングを実行されてしまうと、電力を大幅に消費します。電力使用量の肥大化を避けたくないですか?もしくは、不必要に機器に負荷を与えたくない、と思いませんか?マイニングのトラフィックで帯域が食いつぶされるのも嫌ですよね。
マイニングを実行する通信を遮断する技術を適用することで、この問題を解決できます。
ブラウザーベースのマイニングは今、猛威を振るっています。
ThreatSTOPでは、セキュリティ専門家や関係団体と協力し、これに対抗するための脅威アドレス、脅威ドメインのリストを作成しました。このリストをFirewall、DNSサーバに適用することでクリプトジャックの通信をブロックすることができます。
もっと見る:脅威 インテリジェンスとは
■対象リスト
・Browser-Based Crypto Mining Services - Domains
・Browser-Based Crypto Mining Services – IPs
参考記事:DNSサーバのリプレースで実現するDNS Firewall
[SMART_CONTENT]ThreatSTOPについて
ThreatSTOP社は脅威インテリジェンスの専門ベンダーです。米軍やイスラエル軍の出身者が多く、独自のルートを使用してインテリジェンスを収集、精査し、ファイアウォール、DNSへ最短15分間隔で配信します。
これによって、ユーザーは攻撃の種類を問わず、既知の攻撃者との通信を可視化・ブロックすることができます。
