クリプトジャッキング黙示録:クリプトマイニング四騎士を打破する方法
ビットコインをはじめとする仮想通貨の価格は変動しているにもかかわらず、各業界のビジネスや中小企業、一般消費者がクリプトジャッキングという深刻かつ(多くの場合は)隠れた脅威に晒されている状況に変わりはありません。
こうした脅威が最も潜みやすい場所はブラウザを介したクリプトマイニングです。一般的な形式のマルウェアが、使用されているデバイスを「クリプトジャッカー」と呼ばれるフルタイム稼働の仮想通貨マイニングドットへ改変しようと試みます。
この傾向についてクリエイティブにご理解いただくため、少し誇張した表現を使って説明します。押し寄せるクリプトジャッキングの波は黙示であり、エンドポイントまたはビジネスに対する脅威は『ヨハネの黙示録』になぞらえ「四騎士」に例えられます。
- 白の騎士:消費または浪費電力
- 赤の騎士:リソースが限られることで喪失する生産性
- 黒の騎士:システムに及ぼしかねない損害
- 青の騎士:脆弱性が生まれることによるセキュリティへの影響
(支払いを要求するために)検出されるランサムウェアとは異なり、クリプトジャッカーは、コンピュータのバックグラウンドで密かに活動します(この際、デバイスのCPU使用率のグラフや冷却ファンは何らかの異常を示す可能性はあります)。
ランサムウェアは、一度VirusTotalなどの検査サイトにひっかかってしまうと、その有効性や投資利益率が低減してしまうという理由から、過去2年の間にランサムウェアの作成者らはクリプトジャッキングへと焦点をシフトしています。
収益性の高い事業を運営するのと同じように、サイバー犯罪者は財政面の目標を達成するため、常に新しい方法を生み出すことを考えています。サイバージャッキングは、そうした課題を克服するために使用されています。
2018年4月、SonicWallは、Coinhiveをマルウェアで使用し、クリプトジャッキングの傾向を追跡し始めました。そしてその1年の間に、クリプトジャッキングには盛衰があることを発見しました。当時、SonicWallでは約6,000万件のクリプトジャッキングを記録しましたが、2018年9月にはその数は1,310万件に上っています。公開されている2019 SonicWallサイバー脅威レポートでも触れたとおり、クリプトジャッキングの攻撃件数は2018年の最終四半期には低減しました。
国際的なクリプトジャッキング攻撃件数 | 2018年4月~9月
クリプトマイニングをおびき寄せるもの
昨今クリプトマイニングの実行件数はますます増えており、今や世界の消費電力のほぼ半分を消費するまでに至ります。価格が大幅に変動するにもかかわらず、ビットコインの合法的なマイニング費用のうちおよそ60%は電気代が占めています。実際に、この記事を書いている時点では、ビットコインの価格は合法的にマイニングを行う費用よりも価値が低い状態です。
機器の購入・維持コストの負担、そしてゼロリスクという観点から、サイバー犯罪者には他人のリソースを利用して仮想通貨を生成する大きな動機が存在するのです。10台の機械にクリプトマイナーを感染させると最大で1日あたり100ドルの利益を得られます。これにあたり、クリプトジャッカーは以下の3段階におよぶ課題を乗り越える必要があります。
- 標的を探す。つまり、学校や大学などの同一ネットワーク内に多くの機器を持つ組織を見つけます。
- できるだけ多くの機器を感染させる。
- できるだけ長い時間隠れ続ける(ランサムウェアや類似した従来型マルウェアとは異なる点)。
クリプトジャッカーはマルウェアと類似した技術(ファイルダウンロード、フィッシングキャンペーン、ブラウザ内の脆弱性、ブラウザのプラグインなど)を利用し、エンドポイントに侵入します。また、当然ながら、ソーシャルエンジニアリングの手口で、最も脆弱な「人」という隙を利用します。
クリプトマイナーに感染しているかどうかの判断
クリプトマイナーは、あなたのデバイスの処理能力に関心があり、クリプトジャッカーは収益を犠牲にしてでも隠れ続ける選択肢を選びます。CPUリソースをどれだけ使用されるかは彼らの目的によって異なります。
それほど電力が使用されていない場合、疑いを持っていないユーザーがその行為に気づくのは難しいと言えます。盗用される電力が多ければ多いほど彼らの収益も多くなります。どちらの場合でも、デバイスの性能に影響を及ぼしますが、閾値が十分に低い場合にはクリプトマイナーと合法なソフトウェアの識別が難しい場合があります。
企業の管理者は、環境内にある未知の処理を探すこと、またWindowsを利用するエンドユーザーは、実行されている処理を検知するSysinternals Process Explorerをインストールすることをお勧めします。同様に、LinuxおよびmacOSユーザーは、それぞれSystem MonitorおよびActivity Monitorを使用してください。
クリプトマイナーから身を守る方法
クリプトマイナーから身を守る第一の方法は、既知のファイルベース脅威を止める最善の方法であるファイヤーウォール、電子メールセキュリティ(境界セキュリティ)のいずれかを通じてこのタイプのマルウェアを瀬戸際で防止することです。
ユーザーは旧型コードを再利用することを好むため、Coinhiveのようなクリプトジャッカーを検知することも第一の対処法でした。しかし2019年2月、Coinhiveは3月8日にサービスを終了するとし発表し、同社は「もはや経済的にサービスを提供可能な状態」ではなく、「価値暴落」によりビジネスが著しく影響を受けたと述べました。
またこのニュースとは関係なく、SonicWallは、同サービスに取って代わる新しいクリプトジャッキングの種類や技術が今後も増えると予想しています。その隠蔽性から、クリプトジャッキングは今後も悪意のある犯罪者に好まれる手法であり続ける可能性があります。被害者への損害が少なく間接的であるため、その行為が露呈する可能性が少なく攻撃が成功する、価値ある期間も長いためです。
マルウェアが未知(新規または更新されたもの)である場合、セキュリティの静的フィルタはそれを通過してしまいます。未知のファイルが検出された場合は、サンドボックスに移され、ファイルの性質の点検が行われます。
マルチエンジンのSonicWall Capture Advanced Threat Protection(ATP)サンドボックス環境は、単一のエンジンを回避しても複数のエンジンは避けられ合い侵襲性マルウェアを特定・停止するよう設計されています。
こうした通常の設定ではないエンドポイントをお使いの場合(空港またはホテルでのローミングなどでの使用)は、行動検知を含むエンドポイントセキュリティ製品を導入する必要があります。
クリプトマイナーは、ブラウザ上で稼働したり、ファイルレス攻撃により提供されるため、無料で入手できる旧型ソリューションでは太刀打ちできません。
SonicWall Capture Client など、行動ベースのアンチウイルスは、システムがコインを掘り起こそうとしている行動を検知し、その稼働を停止させます。 これにより管理者は、マルウェアを容易に隔離・削除し、万一システムファイルに損害があれば、マルウェアが実行される前の既知の健全な状態にシステムを復元することができます。
境界防御と行動分析を組み合わせることで、組織は、新型マルウェアのどのようなトレンドや目的にも対抗することができます。
