クリプトジャッキング黙示録:クリプトマイニング四騎士を打破する方法

ビットコインをはじめとする仮想通貨の価格は変動しているにもかかわらず、各業界のビジネスや中小企業、一般消費者がクリプトジャッキングという深刻かつ(多くの場合は)隠れた脅威に晒されている状況に変わりはありません。

こうした脅威が最も潜みやすい場所はブラウザを介したクリプトマイニングです。一般的な形式のマルウェアが、使用されているデバイスを「クリプトジャッカー」と呼ばれるフルタイム稼働の仮想通貨マイニングドットへ改変しようと試みます。

この傾向についてクリエイティブにご理解いただくため、少し誇張した表現を使って説明します。押し寄せるクリプトジャッキングの波は黙示であり、エンドポイントまたはビジネスに対する脅威は『ヨハネの黙示録』になぞらえ「四騎士」に例えられます。

  • 白の騎士:消費または浪費電力
  • 赤の騎士:リソースが限られることで喪失する生産性
  • 黒の騎士:システムに及ぼしかねない損害
  • 青の騎士:脆弱性が生まれることによるセキュリティへの影響

(支払いを要求するために)検出されるランサムウェアとは異なり、クリプトジャッカーは、コンピュータのバックグラウンドで密かに活動します(この際、デバイスのCPU使用率のグラフや冷却ファンは何らかの異常を示す可能性はあります)。

ランサムウェアは、一度VirusTotalなどの検査サイトにひっかかってしまうと、その有効性や投資利益率が低減してしまうという理由から、過去2年の間にランサムウェアの作成者らはクリプトジャッキングへと焦点をシフトしています。

収益性の高い事業を運営するのと同じように、サイバー犯罪者は財政面の目標を達成するため、常に新しい方法を生み出すことを考えています。サイバージャッキングは、そうした課題を克服するために使用されています。

2018年4月、SonicWallは、Coinhiveをマルウェアで使用し、クリプトジャッキングの傾向を追跡し始めました。そしてその1年の間に、クリプトジャッキングには盛衰があることを発見しました。当時、SonicWallでは約6,000万件のクリプトジャッキングを記録しましたが、2018年9月にはその数は1,310万件に上っています。公開されている2019 SonicWallサイバー脅威レポートでも触れたとおり、クリプトジャッキングの攻撃件数は2018年の最終四半期には低減しました。

国際的なクリプトジャッキング攻撃件数 | 2018年4月~9月

クリプトマイニングをおびき寄せるもの

昨今クリプトマイニングの実行件数はますます増えており、今や世界の消費電力のほぼ半分を消費するまでに至ります。価格が大幅に変動するにもかかわらず、ビットコインの合法的なマイニング費用のうちおよそ60%は電気代が占めています。実際に、この記事を書いている時点では、ビットコインの価格は合法的にマイニングを行う費用よりも価値が低い状態です。

機器の購入・維持コストの負担、そしてゼロリスクという観点から、サイバー犯罪者には他人のリソースを利用して仮想通貨を生成する大きな動機が存在するのです。10台の機械にクリプトマイナーを感染させると最大で1日あたり100ドルの利益を得られます。これにあたり、クリプトジャッカーは以下の3段階におよぶ課題を乗り越える必要があります。

  1. 標的を探す。つまり、学校や大学などの同一ネットワーク内に多くの機器を持つ組織を見つけます。
  2. できるだけ多くの機器を感染させる。
  3. できるだけ長い時間隠れ続ける(ランサムウェアや類似した従来型マルウェアとは異なる点)。

クリプトジャッカーはマルウェアと類似した技術(ファイルダウンロード、フィッシングキャンペーン、ブラウザ内の脆弱性、ブラウザのプラグインなど)を利用し、エンドポイントに侵入します。また、当然ながら、ソーシャルエンジニアリングの手口で、最も脆弱な「人」という隙を利用します。

クリプトマイナーに感染しているかどうかの判断

クリプトマイナーは、あなたのデバイスの処理能力に関心があり、クリプトジャッカーは収益を犠牲にしてでも隠れ続ける選択肢を選びます。CPUリソースをどれだけ使用されるかは彼らの目的によって異なります。

それほど電力が使用されていない場合、疑いを持っていないユーザーがその行為に気づくのは難しいと言えます。盗用される電力が多ければ多いほど彼らの収益も多くなります。どちらの場合でも、デバイスの性能に影響を及ぼしますが、閾値が十分に低い場合にはクリプトマイナーと合法なソフトウェアの識別が難しい場合があります。

企業の管理者は、環境内にある未知の処理を探すこと、またWindowsを利用するエンドユーザーは、実行されている処理を検知するSysinternals Process Explorerをインストールすることをお勧めします。同様に、LinuxおよびmacOSユーザーは、それぞれSystem MonitorおよびActivity Monitorを使用してください。

クリプトマイナーから身を守る方法

クリプトマイナーから身を守る第一の方法は、既知のファイルベース脅威を止める最善の方法であるファイヤーウォール、電子メールセキュリティ(境界セキュリティ)のいずれかを通じてこのタイプのマルウェアを瀬戸際で防止することです。

ユーザーは旧型コードを再利用することを好むため、Coinhiveのようなクリプトジャッカーを検知することも第一の対処法でした。しかし2019年2月、Coinhiveは3月8日にサービスを終了するとし発表し、同社は「もはや経済的にサービスを提供可能な状態」ではなく、「価値暴落」によりビジネスが著しく影響を受けたと述べました。

またこのニュースとは関係なく、SonicWallは、同サービスに取って代わる新しいクリプトジャッキングの種類や技術が今後も増えると予想しています。その隠蔽性から、クリプトジャッキングは今後も悪意のある犯罪者に好まれる手法であり続ける可能性があります。被害者への損害が少なく間接的であるため、その行為が露呈する可能性が少なく攻撃が成功する、価値ある期間も長いためです。

マルウェアが未知(新規または更新されたもの)である場合、セキュリティの静的フィルタはそれを通過してしまいます。未知のファイルが検出された場合は、サンドボックスに移され、ファイルの性質の点検が行われます。

マルチエンジンのSonicWall Capture Advanced Threat Protection(ATP)サンドボックス環境は、単一のエンジンを回避しても複数のエンジンは避けられ合い侵襲性マルウェアを特定・停止するよう設計されています。

こうした通常の設定ではないエンドポイントをお使いの場合(空港またはホテルでのローミングなどでの使用)は、行動検知を含むエンドポイントセキュリティ製品を導入する必要があります。

クリプトマイナーは、ブラウザ上で稼働したり、ファイルレス攻撃により提供されるため、無料で入手できる旧型ソリューションでは太刀打ちできません。

SonicWall Capture Client など、行動ベースのアンチウイルスは、システムがコインを掘り起こそうとしている行動を検知し、その稼働を停止させます。 これにより管理者は、マルウェアを容易に隔離・削除し、万一システムファイルに損害があれば、マルウェアが実行される前の既知の健全な状態にシステムを復元することができます。

境界防御と行動分析を組み合わせることで、組織は、新型マルウェアのどのようなトレンドや目的にも対抗することができます。

2019 SonicWallサイバー脅威レポート: 大企業、中小企業、政府を狙う脅威の正体を暴く

年次のSonicWallサイバー脅威レポートを発行する度に、我々は自分たちがなぜこの業界に携わっているのかを思い出します。

オンライン上の人々や企業・組織がサイバー犯罪によってどのような影響を受けるのかを明らかにするために、当社のエンジニアと脅威研究者は何か月もこのプロジェクトに取り組みます。

そしてその結果、サイバー攻撃はあらゆる分野にわたって増加しており、犯罪は一向に沈静化しておらず、ハッカーや犯罪者グループによる攻撃の数は増え、手口の巧妙さもより高度になってきているという事実が判明しました。2019 SonicWallサイバー脅威レポートでは、攻撃の方法、範囲および程度について説明しています。

急速に変化するサイバー攻防戦の実態をご理解いただくために、2019 SonicWallサイバー脅威レポート(無償提供)のダウンロードをお勧めします。サイバー脅威を統合・分析・視覚化することにより、お客様とお客様の所属組織は、これまでにはない権限と決断力と正確さをもって反撃できるようになります。それではレポートの内容を見ていきましょう。

マルウェアの数は現在も増加中

2016年、業界ではマルウェア検出数の減少がみられましたが、それ以来、マルウェア攻撃は33.4%増加しています。2018年には、SonicWallが全世界で記録したマルウェア攻撃は105億2千万件に上り、当社によるそれまでの記録を更新しています。

イギリスとインドはランサムウェア対策を強化

SonicWall Capture Labの脅威研究者は、ランサムウェア攻撃が、イギリスとインドの二国を除くほぼすべての地域で増加したことを確認しました。本レポートは、ランサムウェアの検出数はどこで推移したか、また、この変化によりどの地域や都市が最も影響を受けたかについて概説しています。

メモリに対する危険なサイバー脅威、「サイドチャネル攻撃」の早期発見

本レポートは、SonicWallリアルタイムディープメモリーインスペクション(RTDMITM)が、特許申請中のテクノロジーを使用して危険なサイドチャネル攻撃をどう緩和するかについても説明しています。サイドチャネルは、Foreshadow、PortSmash、Meltdown、SpectreおよびSpoilereといったプロセッサの脆弱性に付け込んでデータを盗み出すための、基本的な手法です。

悪意のあるPDFとOfficeファイルは従来型のセキュリティ管理では対応できず

サイバー犯罪者は、マルウェアが従来のファイアウォールや最新のネットワーク防御システムさえも回避できるようにするために、PDFやOfficeドキュメントの兵器化を進めています。SonicWallは、この変化が従来のマルウェアの配信方法にどう影響しているかについて報告しています。

非標準ポートへの攻撃

80番ポートと443番ポートは共にウェブトラフィック用の標準ポートであるため、多くのファイアウォールはこれらのポートを重点的に保護するようにできています。これに対抗するため、サイバー犯罪者は、ペイロードがターゲット環境で検出されることなく展開されるよう、様々な非標準ポートを標的にした攻撃をしかけています。問題なのは、各組織がこの経路の安全を確保していないために「攻撃が検出されないまま放置される」ということです。

IoTへの攻撃が増加

適切なセキュリティ管理が施されずに市場に送り出される大量のIoT(モノのインターネット)デバイスが存在します。実際、SonicWallは、IoTへの攻撃が前年比で217.5%増加していることを突き止めました。

暗号化攻撃の着実な増加

暗号化トラフィックが増加するにつれ、TLS / SSL暗号化によって隠蔽された攻撃もまた増加しています。2018年には280万件を超える暗号化攻撃が発生しており、2017年に比べて27%増加しています。

クリプトジャックの盛衰

2018年は、クリプトジャックがその出現とほぼ同じ速さで消失した年でもありました。SonicWallは4月から12月の間に全世界で何千万件ものクリプトジャックを記録しましたが、その数は9月にピークに達して以来、着実に減少しています。クリプトジャックは一過性のものだったのでしょうか、それとも今後増える可能性があるのでしょうか?

全世界のフィッシング検出数が減少する一方で、標的型攻撃が台頭

企業が電子メール攻撃をブロックする能力を高め、従業員が疑わしい電子メールを見つけて削除できるようになる一方で、攻撃者もまたその戦術を変えつつあり、全体的な攻撃の数を減らしながら、より的を絞ったフィッシングキャンペーンを展開しています。SonicWallが2018年に全世界で記録したフィッシング攻撃は2,600万件に上っており、2017年に比べて4.1%減少しています。

Slide Anything shortcode error: A valid ID has not been provided

高度なエンドポイント検知・対応(EDR)機能を備えたCapture Client 2.0

エンドポイント保護機能は、従来のシンプルなアンチウイルス(AV)モニタリングより大幅に進化した機能です。エンドポイントで検出された疑わしいファイルや動作について一貫性のある予防的な調査と軽減が今日のエンドポイントには必要です。

SonicWall Capture Client 2.0のリリースにより、組織は、高度なエンドポイント検知・対応(EDR)機能を使って、エンドポイントの正常性をアクティブに管理することができます。

高度なエンドポイント検知・対応(EDR)機能を備えたSonicWall Capture Clientを活用して管理者は攻撃元と標的を追跡し、必要に応じて削除または隔離を行い、感染や詐欺が確認された場合はエンドポイントを元の正常な状態にロールバックできます。

Capture Clientでは、従来のアンチウイルス(AV)ソリューションで通常必要とされるような、手動によるオフラインでのフォレンジック分析や再イメージ化を必要とせず、マルウェアの影響緩和、エンドポイントのクリーニングを実行することが可能です。

ウェブ脅威対策で、従業員によるミスからエンドポイントを保護

SonicWallのContent Filteringオプションは、悪意のあるウェブコンテンツ(例えば、フィッシングサイト)や生産性を阻害すサイト(ソーシャルメディア等)からの脅威をブロックするとともに、アプリケーション通信帯域を管理するために学校や中小企業、企業で使用されてきました。

ウェブ脅威対策と呼ばれるこの技術の一部は、現在Capture Client 2.0に組み込まれています。この機能は、Content Filteringを利用して数百万の既知の悪意のあるURL、ドメイン、およびIPアドレスへのアクセスをブロックします。これにより電子メールによるフィッシング攻撃、悪意のあるダウンロード(ランサムウェアなど)その他のオンラインの脅威を防止することができます。

ウェブ脅威対策は管理者に別のセキュリティ層を提供するため、管理者が感染をクリーンアップしたりPCを元の正常な状態にロールバックしたりする必要がなくなります。

エンドポイントデバイス制御による攻撃領域エリアの縮小

最近のGoogleの社会的実験で、45%の「落とし物」のUSBキーが、それを拾った人によってデバイスに差し込まれていた、ことが判明したことをご存知ですか。

職場とその周り(コーヒーショップ、会社の駐車場、ロビーなど)に感染したUSBドライブを落としておきさえすれば、企業に対し非常に効果的な攻撃を仕掛けられるということとして広く認識されています。事実、多くの小売店には、あらゆる場所からのネットワークへの感染を容易にする、むき出しのUSBポートを備えたPOSシステムがあります。

USBなどの感染したデバイスがエンドポイントに接続するのを防ぐために、Capture Clientデバイス制御機能は、未知のデバイスや不審なデバイスをロックアウトします。管理者は、承認されるまで未知のデバイスへのエンドポイントのアクセスをブロックしたり、プリンターやリムーバブル記憶域などクリーンなデバイスをホワイトリストに登録し、脅威の範囲を狭めることができます。

パートナー、顧客にとってより良いエンドポイントの保護ライセンス

SonicWallは、クライアントの安定性と機能性の向上を提供することのみに終始しているのではありません。たとえば、昨年私たちは、パートナーや顧客のグローバルネットワークと協力し、より良いビジネス慣行を生み出しました。

ご要望の増加に伴い、SonicWall認定パートナー対象に競合製品乗り換えSKUを無期限プログラムとしてご提供することになりました。顧客の皆様には、競合製品からの切り替えに際し、2年間分のサポート価格で3年間のサポートをご利用いただけるようになります。

また、新しいバンド型SKUを2019年3月から発売するにあたり、前回ご注文いただきサポート提供させていただいているSKUパックを廃止します。この新しいバンド型SKUにより、必要なだけのライセンスの数を、その数量に合わせた適切な価格で発注いただけます。バンドは5シートからご注文いただけます。5シートから10,000シート、さらに10,000シート超えの各ご注文に対し8タイプのボリュームディスカウントの中から適当なものを受けることができます。

技術概要:ランサムウェアの影響をロールバック

Capture Client Advancedを使用すると、手動でバックアップから復元したり新しいシステムイメージを作成したりすることなく、迅速で自動化された回復を実行できます。全てを解説した技術概要をダウンロードし、事業継続性の最適化、財務への影響の軽減、平均修復時間の短縮にCapture Clientのロールバックがどのように役立つかをご確認ください。