オフィスに潜む仮想通貨マイナー

2019年6月28日

自前の設備を使った仮想通貨マイニングは、それほど儲かるビジネスではありません。自宅にマイニングファームを構築するのはリスクの高い投資ですし、マイニングにかかる電気代も支払わずに済ませたいものです。こうした事情から、他人の機器を利用する動きが広がっています。

このような便乗型マイニングがもたらす損害は、目に見えて明らかです。まず、機器が過熱状態になり、結果として短期間で壊れやすくなります。加えて、機器の動作が常に低速になるため、業務処理も遅くなります。その上、なぜ他人の電気料金を肩代わりしなければならないのでしょうか。

他人の機器を利用した仮想通貨マイニングの手法

先日中国で起きた一件(英語記事)では、地元住民が養魚池の底にケーブルを敷設し、原油採掘施設から直接電力を盗んで仮想通貨マイニングに利用していました。ひとまずここでは、そのような極端な事例は脇へ置くことにします。確かに問題ではありますが、物理的セキュリティの領域に属する話であり、情報セキュリティの問題ではありません。具体的なツールについての解説は省きますが、他人のリソースを利用する仮想通貨マイニングには以下の方法があります。

Webマイニング

ブラウザー内で悪意あるプロセスを実行するだけでよいため、Webマイニングは当然ながら広く利用されています。通常は、アクセス数の多いサイトや広告バナーに悪意あるスクリプトを埋め込む形を取ります。

特定の企業を標的にしてWebマイニングが行われることは、まずありません。しかしながら、社員がWebサイトにアクセスした結果、知らず知らずのうちに企業のコンピューターリソースを使われてしまう可能性はあります。たとえば昨年、仮想通貨マイニング用のスクリプトが埋め込まれた広告バナーがYouTubeで見つかりました。

悪意あるマイニング

マルウェア感染は、以前ほどニュースにならなくなりました。データを暗号化したり盗んだりするのではなく、こっそりと仮想通貨をマイニングするだけのマルウェアならば、なおさらです。それに、目立った兆候としてはコンピューターのパフォーマンス低下くらいなので、長期にわたって感染が検知されないこともあります。

感染に利用されるのは、フィッシングメールやフィッシングサイトへのリンク、ソフトウェアの脆弱性など、標準的な手段です。サーバーに感染することもあり、そうなると攻撃者にとっては利益が大きく、企業にとっては損失が大きくなります。ときにはデジタルサイネージや電子スコアボードに感染し、気づかれないまま何年間も仮想通貨マイニングを続けることもあります。

内部関係者によるマイニング

最も危険なのは、企業の内部関係者による仮想通貨マイニングです。社員がマイニング用プログラムを社内の機器へ意図的にインストールし、起動させるパターンです。正規の利用者が手動で起動したプロセスであるため、セキュリティソフトウェアからすると、そのようなプロセスを悪意あるものと自動的に判定するのは困難です。

サイバー犯罪者の観点からすると、小規模企業のネットワークの中でマイニングツールを稼働させるのが、気づかれにくく一番確実な選択です。とはいえ、政府機関であっても、そうした内部関係者による活動の被害を受ける場合があります。1か月ほど前に、職務上の立場を利用して政府のコンピューターシステムをマイニングに利用したとしてオーストラリアの政府職員が起訴されました(英語記事)。

マイニングを検知するには

最初に現れる症状は、動作速度の低下です。コンピューターのリソースの大半を仮想通貨マイニングが占めてしまうと、他のプロセスの動作が通常より大幅に遅くなります。動作速度はそもそもマシンによって異なりますが、マイニングツールがインストールされると、急激なパフォーマンスの低下が感じられるはずです。

次の兆候は、温度です。プロセッサーに過剰な負荷がかかると通常より格段に多くの熱を発し、冷却システムの音が大きくなります。コンピューターのファンの回る音が突然いつもよりうるさくなったときは、もしかすると仮想通貨マイニングに利用されている兆候かもしれません。

しかし、一番確実な方法は、誰かがあなたのマシンをマイニングに利用していないかどうかを正確に判定できるセキュリティ製品をインストールすることです。

仮想通貨マイナーにリソースを利用されないようにするには

紹介した3つのマイニング手法への対策として、お勧めしたいのがKaspersky Endpoint Security for Businessです。この製品は、Webマイニングツールを検知するほか、マイニング機能を持つトロイの木馬がインストールされるのを阻止します。社内関係者によるマイニングの場合は少々複雑で、システム管理者による介入が必要になります。

ただし、この種のソフトウェアは、必ずしも悪意のあるものとは限らないため「迷惑である可能性のある」ソフトウェアに分類されます。したがって、システム管理者としては、リスクとなる可能性のあるソフトウェアの使用を会社全体で禁止した上で、必要なツール(リモートアクセスツールなど)を例外に追加する、という手順が必要になります。