ひそかにインストールされるマイニング用ソフトウェア

2017年9月19日

仮想通貨のマイニング(採掘)が急速な広がりを見せ、IT業界の流行語にもなっています。この流行の波に乗り、「マイニング」(ブロックチェーンにブロックを追加して仮想通貨で報酬を受け取る行為)に手を染める人が増えています。こうした「マイナー」(採掘者)と呼ばれる人々がマイニングに励む中、仮想通貨をできるだけ多く稼ぐための巧妙な手法がいろいろと考え出されていますが、必ずしも合法的な手法ばかりではありません。先進的な「マイナー」の中には、誰かを利用して稼ぐことも厭わないという輩もいます。

マイナーがあなたのコンピューターを必要とする理由

ボットネットについて、そして、ハッカーがあなたのコンピューターをゾンビ化してボットネットの一部にしてしまうやり口については、以前に解説しました。ボットネットにはさまざまな用途があります。仮想通貨のマイニングもその1つです。

簡単に言うと、あなたのコンピューターが分散ネットワークに組み込まれ、仮想通貨のマイニングに計算能力が利用され、採掘された仮想通貨はボットネット所有者の懐に入る、という仕組みです。ボットネットを構成する数千台のコンピューターを利用すれば、1台のコンピューターでやるよりもはるかに効率的に仮想通貨をマイニングできます。また、電気代も、ボット化されたコンピューターの利用者(あなたです)が払うことになります。誰かのコンピューターにこっそりマイニング用ソフトウェアをインストールすることは、ハッカーにとって非常に実入りのいいビジネスなのです。

なお、犯罪者でも何でもない普通の人が、自分で仮想通貨をマイニングするためにマイニング用ソフトウェアをインストールする場合もあります。マイニング用ソフトウェアはどれも同じで、合法的なマイニングと違法なマイニングを見分けるのは困難です。違いは、違法にマイニングを行うソフトウェアはこっそりインストールされて動作している、という点です。

マイニング用ソフトウェアがコンピューターへ忍び込む手口

マイニング用ソフトウェアをコンピューターへ忍び込ませるのには、ドロッパーと呼ばれる悪意あるソフトウェアがよく使われます。ドロッパーの主な機能は、別のソフトウェアをひそかにインストールすることです。ドロッパーはライセンス製品の海賊版や製品のアクティベーションキー生成ツールを装っていることが多く、ピアツーピアネットワークでこの手のソフトウェアを探している人が知らずにダウンロードしてしまったりします。

ダウンロードされたファイルが起動されると、コンピューター上でインストーラーが展開されます。インストーラーは、マイニング用ソフトウェアと、このソフトウェアをシステム内に隠すための専用ツールをダウンロードします。自動実行や自動設定を行うサービスがソフトウェアに完備されていることもあります。

そうしたサービスは、たとえば、コンピューターの利用者が特定のコンピューターゲームをプレイし始めたときに、マイニング用ソフトウェアの動作を中断したりします。マイニング用ソフトウェアはグラフィックカードの計算能力を利用するため、ゲームの反応が遅くなって利用者に怪しまれる可能性があるのです。

また、この種のサービスは、セキュリティ製品を無効にする、システム監視ツールの実行中はマイニング用ソフトウェアを中断する、利用者がマイニング用ソフトウェアを削除しようとしても復元する、などの動作を試みることもあります。

問題の規模

ハッカーは、このようなソフトウェアをサービスとして配布しています。配布に使われるのは、Telegramのオンライン求人情報チャンネルです。マイニング用ソフトウェアをひそかに配布するドロッパーの試用版を宣伝する広告を目にした人も、皆さんの中にいるかもしれません。

マイニングボットネットの規模を把握するため、具体例を少し見てみましょう。当社のエキスパートが最近発見したボットネットは、マイニング用ソフトウェア「Minergate」がひそかにインストールされた、推定数千台のコンピューターで構成されていました(英語記事)。採掘する仮想通貨は、普及率の高いBitcoinではなく、取引とウォレット所有者を非公開にできるMonero(XMR)やZcash(ZEC)などが主です。1つのマイニング用ボットネットで手に入る額は、控えめに見積もっても、1か月に3万ドル以上とされています。当社のエキスパートが発見したボットネットでは、ウォレットを介して20万ドル超に相当する仮想通貨が送金されました。

前述のボットネットで利用されたMoneroのウォレット。Moneroの交換レートは約120ドル(記事執筆時点)

自分の身を守るには

カスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows版プログラム)は、悪意あるドロッパーから利用者を保護するように、既定で設定されています。コンピューターに入り込む隙を与えないように、セキュリティ製品は常に有効にしておきましょう。何らかの理由で製品を無効にしていて、何か怪しいと感じてスキャンを実行した場合でも、カスペルスキー インターネット セキュリティは、この本格的なトロイの木馬であるドロッパーをすぐに検知し、駆除を促します。

ドロッパーとは異なり、マイニング用ソフトウェアは悪意あるソフトウェアではありません。そのため、リスクウェアに分類されます。リスクウェアとは、正規のものであっても、悪意ある目的に利用される可能性があるソフトウェアです(リスクウェアに分類されるものについて詳しくはこちらをご覧ください)。カスペルスキー インターネット セキュリティは、リスクウェアのブロックや削除を既定で行うようには設定されていません。利用者が意図してインストールした可能性もあるためです。

セキュリティ対策を万全にしたい、マイニング用ソフトウェアなどのリスクウェアを使うことはない、という場合は、リスクウェアが検知されたとき通知が表示されるように設定しましょう。カスペルスキー インターネット セキュリティの設定画面を開き、[検知する脅威と信頼リストの設定]画面(メインウィンドウの左下にある歯車のアイコンをクリックして[設定]ウィンドウを開き、[詳細]-[検知する脅威と除外リスト]の順に選択)で、[ユーザーに損害を与える目的で悪用される可能性があるソフトウェアを検知する]というチェックボックスをオンにしてください。そして大切なのは、定期的にシステムをスキャンすることです。セキュリティ製品を活用して、不要なソフトウェアがインストールされ、実行されることがないようにしましょう。