暗号通貨マイニングの人気が高まるにつれ、サイバー攻撃者はクリプトジャッキング(Cryptojacking)という攻撃手法を開発し、悪用しています。この手法は2017年にスターバックス(Starbucks)やテスラ(Tesla)など、複数の有名な企業が被害者として報告されたことをきっかけに人気になりました。暗号通貨の変動により2019年末にはクリプトジャッキングの被害が減少していたものの、最近になってクリプトジャッキングの脅威が再び世間を賑わせていると報じられています。よって、この話題に関する意識を高め、注意する必要があります。
今回の記事では、クリプトジャッキングの定義、攻撃の仕組み、攻撃を検知する方法とその防止方法について説明します。
クリプトジャッキングの定義
クリプトジャッキングとは、サイバー攻撃者が悪意のあるリンクを使って被害者のコンピューターを感染させ、そのリソースをこっそり利用して暗号通貨を採掘することです。この言葉は、Cryptocurrency(暗号通貨)とHijacking(ハイジャック)という言葉を組み合わせたものです。クリプトジャッキングのような攻撃は、被害者から情報や資金を直接盗むのではなく、被害者のコンピューターやデバイスを感染させ、システムの処理能力をハイジャックし、ビットコイン、イーサリアム、モネロ、デロなどの暗号通貨を採掘する非伝統的なハッキングの手法です。
攻撃を受けた被害者は、自分のコンピューティング・リソースが暗号通貨のマイニングに利用されていることに気づかないことが多いです。被害者は、PCのシステムパフォーマンスがなぜか低下したり、ファンの音が異常にうるさくなるなどの症状を感じるかもしれません。しかし、このような兆候はしばしばいつものような技術的不具合や些細な問題と誤解されます。そのため、このような攻撃をサイレント・クリプト・マイナー(silent crypto miner)とも呼びます。それでは、このサイレント・クリプト・マイナーはどのように動作するのでしょうか。
クリプトジャッキングの仕組み
クリプトジャッキングは、被害者に気づかれずに暗号通貨を採掘するために、被害者のコンピューターに侵入することから始まります。では、クリプトジャッキングの仕組みについて説明します。
1. 攻撃者は被害者のデバイスに悪意のあるリンクを配布します。
クリプトジャッキングの最初のステップは、悪意のあるリンクを被害者に配布することです。悪性リンクは、さまざまな手段で配布することができますが、最も一般的な方法は以下のようです。
- 悪意のあるリンクが含まれた迷惑メールを送信する
- オンライン広告にJavaScriptコードを埋め込む
- 一見正当に見えるアプリケーションに暗号通貨マイニングのJavaScriptを埋め込んで偽装する
サイバー攻撃者はソーシャル・エンジニアリングを利用して同僚や管理職、またはCEOになりすまし、被害者がメールに埋め込まれた悪意のあるJavaScriptをクリックして感染するよう仕向けます。
電子メール以外にも、オンライン広告を悪用して被害者のクリックを誘導します。様々なウェブサイト上で見かけられるオンライン広告は、ほとんど通常の広告に見えるため、無防備な被害者は攻撃のターゲットになりやすくなっています。さらに一部の攻撃者は、攻撃のためにモバイル・アプリケーションを作るなど、より手間がかかることまでします。
2. 被害者は思わず暗号通貨マイナーのJavaScriptをインストールし、実行します。
攻撃者は、悪意のあるリンクを作り、様々な手段で配布した後、被害者が餌にかかるのを待つだけです。被害者は、一見無害に見えるウェブサイトを閲覧したり、広告をクリックしたりするだけで、マルウェアにさらされていることに気づかないかもしれません。これらの悪性リンクをクリックすると、知らないうちに暗号通貨マイニング・ソフトウェアが自動的にコンピューターへインストールされます。
通常、コンピューターは新しいアプリケーションやソフトウェアをインストールする際、管理者権限を求めます。しかし、この暗号通貨マイニング・ソフトウェアは、被害者の同意を得ずバックグラウンドで実行されるように設計されています。
3. クリプトマイニングは被害者のコンピューター・リソースを使用し、自動で実行されます。
暗号通貨マイニングのJavaScriptがインストールされると、被害者のコンピューター・リソースは暗号通貨のマイニングに使用されます。暗号通貨のマイニングは、日常使用量よりも多くのリソースを要するため、この結果、PCのパフォーマンスが低下し、電力使用量が増加することがよくあります。
コンピューター上で実行されるコインのマイニングをすぐに気づかないため、クリプトジャッキング攻撃は長期間にわたって持続する可能性があります。これによって、攻撃者は見つかれる危険性を減らしながらもかなりの量の暗号通貨を収穫することができます。
4. サイバー攻撃者はリソースを使わずに暗号通貨を獲得します。
クリプトジャッキングは他のマルウェア攻撃に比べて独特な特徴があります。クリプトジャッキングのスクリプトは、さまざまなタイプのマルウェアとは異なり、コンピューターやデータに直接危害を加えることはありません。クリプトジャッキングは、バックグラウンドで負荷の高いソフトウェアを動作させることで、コンピューターの処理リソースを盗みます。攻撃したPCのリソースを盗むことで、攻撃者はコストを節約すると同時に暗号通貨を得ることができます。
一方、被害者は何も得られないままダメージに直面することになります。ビットコイン1枚を採掘するのに必要なエネルギー消費量は約15万5000kWhで、相当であることに注目する必要があります。さらに、長期間にわたってばれずに継続された暗号通貨のマイニングは、被害者のコンピューターをオーバーヒートさせ、ハードウェアを損傷させるなどの結果を招きます。
クリプトジャッキング攻撃の例
クリプトジャッキングのトレンドは2017年にコインハイブ(Coinhive)によって始まり、世界中の被害者のコンピューターにクリプトマイニングのJavaScriptを侵入させることに成功しました。Coinhiveの成功を受けて、同様のJavaScriptコードが開発されて、より多くの被害者のデバイスで暗号通貨が採掘されました。2022年、クリプトジャッキング攻撃は1億3900万件を記録し、2023年末にはその3倍の3億3200万件になると予測されています。
数百万のクリプトジャッキング攻撃の中で悪名高い攻撃の事例は以下のようです。
1. コインハイブ・マイナー(Coinhive Miner)
クリプトジャッキングが初めて記録されたのは2017年9月のことでした。この事件で、Coinhiveとして知られている暗号通貨のマイニングサービスは、「モネル(Monero)」のマイニングにサードパーティのCPUを利用できるようにするコードを導入したことから始まりました。コインハイブ(Coinhive)は当時、世界で6番目に多いマルウェアとして集計されました。
しかし、コインハイブは暗号通貨の価格下落、特にモネロの価格下落により、2019年にサービスを終了しました。サービスが公式に終了したにもかかわらず、クリプトジャッキングの痕跡は残っています。2023年現在、Criminal IPのIT資産検索によると、少なくとも約5,000台のデバイスがまだCoinhiveのクリプトジャッキングに感染しています。
2. クリプトジャッキングに感染したマイクロソフト・ストアのアプリケーション
2019年には、マイクロソフト・ストアでクリプトジャッキングのJavaScriptに感染した8つのアプリケーションが発見されました。感染したアプリケーションは、Fast-search Lite、Battery Optimizer(チュートリアル)、VPN Browsers+、Downloader for YouTube Videos、FastTube、Findoo Browser 2019、Clean Master+(チュートリアル)、Findoo Mobile & Desktop Searchでした。これらを発見した後、マイクロソフト社は直ちに感染したアプリケーションを削除しました。
3. AMBERSQUID
クリプトジャッキングの脅威はまだ終わっていません。2023年に登場した最新のクリプトジャッキング事例の一つはAMBERSQUIDです。このクリプトジャッキング攻撃は、主にAWS Amplify、AWS Fargate、Amazon SageMakerなどのAmazon Web Services(AWS)を標的としています。AMBERSQUIDは、追加リソースに対してAWSに承認のトリガーを送信することなく、クラウドサービスに侵入することができると報告されています。
4. Qubitstrike
2023年に発生したもう一つのクリプトジャッキングは、Qubitstrikeです。Cado Securityは2023年10月、このクリプトマイニングのマルウェアがJupyter Notebookのユーザーを標的にしていることを報告しました。XMR暗号通貨を密かに採掘するQubitstrikeは、Discordのボット機能を使用して、侵害されたノードにコマンドを送信し、攻撃の進捗状況を追跡します。
その他にも韓国の政府機関のサーバーで数年間コインが採掘されたクリプトジャッキング攻撃の事例も確認いただけます。
クリプトジャッキングの検知方法
クリプトジャッキングの猛威は、数年前のピーク時よりは減少しましたが、脅威は依然として存在しています。今年初めに発生したAMBERSQUIDのような脅威の出現で証明されたように、攻撃者の戦術は継続的に発展されています。したがって、このような攻撃に対する警戒を怠らないことが肝要であり、そのためには、クリプトジャッキング攻撃を特定する方法を知る必要があります。デバイスのクリプトジャッキングを検知する方法は以下のようです。
1. 通常より遅く動作するデバイス
コンピューターの動作が遅くなった理由は、同時に実行するアプリケーションが多すぎるから、あるいは、RAMに負担になるほどコンピューターのタスクを処理しすぎていると考えるかもしれません。むろん、実際にそれらの原因で遅くなった可能性もありますが、不明なソフトウェアが自動で実行動作されているか常に気を付ける必要があります。
2. 通常より暑いデバイス
大量のRAM使用量がかかるソフトウェアを実行する場合はデバイスが熱くなり、人によってはこのようなことは日常茶飯事かもしれません。しかし、このような問題が長期間続くとしたら、アンチウイルスの検査を実行し、他の原因を確認することをお勧めします。
3. 通常より早く消耗されるバッテリー
旧型ノートパソコンやタブレット、スマートフォンなどのバッテリーは早く消耗されます。しかし、バッテリーの消耗が異常に早い場合は、暗号通貨のマイニングのJavaScriptに感染していないか確認する必要があります。クリプトジャッキングのスクリプトは、暗号通貨を採掘するためにデバイスの処理能力を乗っ取るため、CPUやGPUにかなりの負荷をかけ、バッテリーの消耗が早くなります。
4. クリプトジャッキングの事例に関して最新情報をチェックする
Coinhiveは正式に活動を終了しましたが、それでもクリプトジャッキング攻撃が終わったわけではありません。サイバー攻撃者は、人々のデバイスをハイジャックし、暗号通貨マイニングのリソースに変える新しい方法を開発し続けています。
この問題に対する警戒を怠らないようにするため、クリプトジャッキングの最新ニュースを常にチェックする必要があります。また、Criminal IPのようなサイバー脅威インテリジェンス(CTI)検索エンジンでクリプトジャッキングに感染したIPアドレス、ドメイン、資産を発見することができます。
例えば、暗号通貨の採掘を開始できるようにするスクリプトコードであるCoinIMPを検索できます。Criminal IPのIT資産検索で“var_client = new Client.Anonymous”を検索すると、CoinIMPのクリプトマイニング・スクリプトに感染したサイトが表示されます。
クリプトジャッキングを防ぐ方法
インターネットを使う際、1回の間違えたクリックでクリプトジャッキングに感染する可能性があります。サイバー脅威は常に進化していますので、セキュリティを維持するには、セキュリティ意識、予防措置および継続的な注意が必要です。このセクションでは、デバイスがクリプトジャッキング攻撃に感染しないようにいくつかのコツを紹介します。
1. オンラインでは常に用心深く
クリプトジャッキングに対する1つ目の防御線は警戒です。リンクをクリックしたり、ファイルをダウンロードしたり、ウェブサイトを訪問したりする際、特にその出所をわからない場合には、常に注意が必要です。オンラインで安全を確保するためには誰も信用せず、全員を疑う必要があります。
2. アンチウイルスをインストールする
お使いのデバイスに信頼できるアンチウイルス・ソフトウェアをインストールすることは非常に重要です。アンチウイルス・プログラムは、クリプトジャッキング・スクリプトを検出してブロックし、コンピューターを安全に守れます。また、アンチウイルスのソフトウェアを常に最新バージョンにアップデートし、クリプトジャッキングを含む脅威から保護する必要があります。
3. アドブロックを使う
ポップアップのオンライン広告は、サイバー攻撃者が暗号通貨のマイニングJavaScriptを配布するに使用する主な方法の1つです。アドブロックは、そのような悪意のある広告を開かないようにするのに役立ちます。すべてのオンライン広告が有害というわけではありませんが、広告をブロックすることで潜在的な脅威にさらされる機会を減らすことができます。多くのウェブブラウザにはインストールできる拡張機能があります。
4. アプリケーションをインストールする前に注意する
攻撃者は、ターゲットを選ぶとき、オンライン広告や電子メールのリンクだけを利用することではありません。デバイスにアクセスするためのクリエイティブなマルウェアの偽装術が続いて作られています。マイクロソフト・ストアの暗号通貨マイニングのJavaScriptコードによるアプリケーションの感染がその一例です。
クリプトジャッキングを防ぐためには、アプリケーションが合法的に開発されたかを確かめる必要があります。エンジニアが正常のウェブサイトを持っているか、実際のユーザーがアプリケーションに関してレビューを残しているかなどを確認してください。それをチェックするのに5分もかかりません。アプリケーションの正当性をチェックするために5分をかけることは、デバイスに侵入する暗号通貨マイニングのJavaScriptによる被害に比べて、それほど悪いことではありません。
5. クリックしたいリンクを常にチェックする
リンクをクリックする前に、マウスをリンクの上に置くと、リンク先のURLが表示されます。アクセスしようとするURLであるかを確認し、不審なURLではないかを確認してください。また、電子メールの添付ファイルやリンクにも注意を払いましょう。リンクを開く前に、その中身が正当かを確認する必要があります。
GoogleのChromeブラウザを利用する方は、AIフィッシング・リンク・チェッカー拡張機能をインストールすることで、悪意のあるリンクを検出することができます。Criminal IP Phishing Link Checkerは、AI 技術を活用してリンクをクリックする前に潜在的な脅威を検出するためにリアルタイムでURLをスキャンします。
例えば、宣伝メールを受け取って、そのリンクの安全性を知りたいとすると、拡張機能をインストールし有効にした後、リンクを右クリックし、Pre-Check This LinkをクリックしてURLにアクセスする前に検査することができます。
検査の結果、クリックしても安全なリンクであれば、次のような結果が表示されます。
[結論】クリプトジャッキングの脅威に常に警戒しなければなりません。
インターネットにつながっているデバイスは、いつでもサイバー脅威に漏洩されています。インターネット・ユーザーとしてデバイスとIT資産を守る方法は、クリプトジャッキングを含むあらゆる攻撃に対して常に用心深く警戒することです。しかし、攻撃はあまりにも多様で、自分ひとりですべてを保護することはできません。既にクリプトジャッキング攻撃からユーザーを保護するためのセキュリティツールはたくさんあります。最も重要なことは、ウイルスやマルウェアからデバイスを守るために強力なアンチウイルスツールを利用することです。強力で簡単な予防策として、Criminal IP Link Checkerをインストールして、悪意のあるリンクへのクリックを防げます。そして、セキュリティ分析や最新のセキュリティトレンドを研究する場合は、Criminal IPのようなサイバーセキュリティ検索エンジンを活用してオンラインで配布されるクリプトジャッキングに感染したデバイスを確認することができます。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
