2017年11月2日

CryptoShuffler: 14万ドル相当のBitcoinを盗んだマルウェア

脅威

こんな場面を想像してください。あなたはピザの代金を、Bitcoinで支払うことにしました。そこで、ピザ屋のWebサイトからウォレットのアドレスをコピーしてきて、支払金額を入力し、送信ボタンをクリック/タップします。送金が行われますが、ピザは届きません。ピザ屋は、代金を受け取っていないと言います。これは一体?

どうかピザ屋を責めないであげてください…すべてはCryptoShufflerの仕業なのです。

CryptoShufflerというトロイの木馬は、暗号化型ランサムウェアとは違って派手なことをせず、目立たないように振る舞います。CryptoShufflerは、コンピューターのメモリ内にひっそりと留まり、クリップボードを監視します。クリップボードといえば、カットアンドペーストの操作をしたときにデータが一時的に保存されるエリアです。

暗号通貨ウォレットのアドレスがクリップボードにコピーされると、CryptoShufflerはただちに察知し(ウォレットのアドレスは、使われている文字や長さに特徴があるので見分けやすい)、このアドレスを別のアドレスに差し替えます。結果、暗号通貨の送金はたしかに行われるのですが、支払者が指定した金額は、ピザ屋ではなくCryptoShufflerの背後にいる誰かのもとへ送られます。

Kaspersky Labによる調査(英語記事)では、このマルウェアが狙うのはBitcoinだけでなく、Ethereum、Zcash、Monero、Dash、Dogecoin(本当です)などのその他暗号通貨もターゲットになっていることが判明しました。最も収益性が高いのはBitcoinウォレットに成り代わる手口で、本記事執筆時点では、CryptoShufflerを操る攻撃者は23 BTC(現在の換算レートで14万ドル相当)を若干上回る金額を手にしています。

CryptoShufflerの作者に属するその他の暗号通貨ウォレットには、10ドル〜数千ドルの金額が含まれることが明らかになっています。

CryptoShufflerがこれだけのお金を集めるのには、1年少々かかりました。活動は2016年終盤にピークに達したのち急激に落ち込みましたが、2017年6月には再び活動が活発化しています。

CryptoShufflerが感染しても、コンピューターやスマートフォンが重くなるとは限らず、身代金要求メッセージが表示されることもありません。それどころか、このマルウェアは目立たないようにつとめ、できるかぎり見つからないように動作します。検知されないほど、お金を稼げるのですから。

暗号通貨を利用する場合は、注意を怠らず、セキュリティ対策を実施するようにしてください。カスペルスキー製品では、CryptoShufflerを「Trojan-Banker.Win32.CryptoShuffler.gen」の検知名で検知し、その動作をブロックします。