隠れマイニングが企業の脅威となる理由

隠れマイニングを武器にするサイバー犯罪者。ここでは、その仕組みと、企業を保護する手段を説明します。

2017年に猛威を振るったランサムウェアは、仮想通貨マイナーの形を取る新しく高度なサイバー脅威にその座を奪われるだろう – Kaspersky Labは、2017年を振り返り2018年を展望する中で、このように予測しました。Kaspersky Labが実施した最新の調査(英語)によると、マイナーの台頭は予想どおりだっただけでなく、それ以上であることが明らかになりました。

サイバー犯罪者は過去6か月の間に、仮想通貨マイナーを他人のコンピューターに潜りこませて700万ドルを超える利益を得ています。今回の記事は、マイナーが他人のコンピューターでどのように動作するか、マイナーが(特に企業にとって)大きなサイバー脅威となったのはなぜか、マイナーからインフラを守るにはどうすればよいかについてです。

マイナーの増加

2017年、Bitcoinとアルトコイン(Bitcoinに代わる仮想通貨)の交換レートが成層圏に達する勢いで上昇したとき、現金との互換性を持つトークンを所有することはビジネスとしてうまみがある、ということがはっきりしました。仮想通貨経済が特に魅力的なのは、現金とは違って、数学的計算をして報酬を得ることで誰でもブロックチェーンを基盤としたデジタル通貨を作れる点です(ブロックチェーンの仕組みについては、こちらをご覧ください)。

計算をすればするほど受け取るトークンの数が増える、というのがマイニングプール(マイナーをまとめる組織)の一般原則です。唯一の問題は、実行したい計算が増えるほど、コンピューターのより大きな演算能力が必要になる、ひいては消費電力が増大するということです。

他人のコンピューターを使って仮想通貨をマイニングすればいいではないか、とサイバー犯罪者が思いつくのに時間はかかりませんでした。インターネットテクノロジーを悪用して手っ取り早く儲けることが、DNAに刻み込まれるレベルで染みついているのがサイバー犯罪者ですから。もちろん、計算は、コンピューターの所有者や管理者のあずかり知らないところで行われるのが理想的です。こうした理由から、サイバー犯罪者は何百台ものマシンがある大企業のネットワークを好むのです。

また、犯罪者たちは計画を実行に移すのが巧みになりつつあります。こうしている間にも、世界中で270万超の人々が「悪意あるマイナー」の攻撃を受けてきました。この数は2016年の1.5倍で、まだ増え続けています。では、攻撃者はどういったテクノロジーを使用するのか、見ていきましょう。

隠れた脅威

まずは、APT(Advanced Persistent Threat)で使用されるテクノロジーの数々を擁する方法で、最近の大規模なランサムウェア攻撃でよく使われるタイプのものです。たとえば、悪名高きEternalBlueエクスプロイトを使った攻撃が、今では隠れマイナーの拡散に使用されています。

もう1つの方法は、コンピューターの持ち主にドロッパー(別のソフトウェアを密かにダウンロードするマルウェア)をダウンロードさせ、このドロッパーにマイナーをダウンロードさせる方法です。なにか製品の無料バージョンや広告にドロッパーをまぎれ込ませるか、何らかのフィッシング手法を使うかして、人に能動的にダウンロードさせるのが一般的です。

ダウンロードされたドロッパーはコンピューター上で実行し、マイナーをインストールしますが、マイナーをシステム内部に隠すための特別なツールも一緒にインストールします。たとえば、システム速度が低下して怪しまれることがないように、感染先コンピューターでどんなプログラムが実行しているかに応じてマイナーの処理能力を設定する自動起動ツールや自動構成ツールなどです。

ツールはまた、マイナーを停止できないようにする場合があります。コンピューターの持ち主がマイナーの存在に気付いて無効化しようとしても、コンピューターはただ再起動されるだけで、再起動後もマイニングは続きます。興味深いことに、隠れマイナーの大半は正規製品のコードを再利用していて、さらに検知を難しくしています。

不正にマイニングする方法は他にもあります。Webマイニング、つまりブラウザーからのマイニングです。Webサイトの管理者がWebサイト内にマイニングスクリプトを仕掛けておき、誰かがWebサイトにアクセスするとその人のブラウザー内でスクリプトが実行する、という仕組みです。また、Webサイトの管理者権限を取得した攻撃者がスクリプトを仕掛ける可能性もあります。Webサイトにアクセスしている間、アクセスしている人のコンピューターはブロックを構築し、スクリプトを仕掛けた犯罪者たちはそこから利益を得ます。

企業での保護はどうすべきか

高度な攻撃技術と検知の複雑さから、サイバー犯罪者は、感染したコンピューターでボットネットを構成し、隠れマイニングに利用できるようになりました。巨大な処理能力を持つ企業インフラが、サイバー犯罪者にとって魅力的な標的であることは言うまでもありません。そこで、企業環境では次の対策をお勧めします。

  • 使用しているすべてのコンピューターやサーバーにセキュリティ製品をインストールし、インフラを攻撃から守る。
  • 定期的に企業ネットワークのセキュリティ監査を実施し、異常を検知する。
  • タスクスケジューラーを定期的に確認する。タスクスケジューラーは、悪意ある処理を開始するのに利用されることがあります。
  • 順番待ち受付システム、POS端末、自動販売機など、あまり目立たないシステムも標的となる可能性があるため、見落とさないようにする。EternalBlueエクスプロイトを利用するマイナーの存在が示すとおり、このような機器を乗っ取って仮想通貨の発掘に使うことも可能なのです。
  • 専門性の高いデバイスは、「デフォルト拒否」モード(許可リストモード)で使う。マイナーだけでなく、他のさまざまな脅威からの保護に有用です。たとえば、デフォルト拒否/許可リストモードは、Kaspersky Endpoint Security for Businessを使用して設定が可能です。
ヒント