勝手にCPUリソースが使われてしまうクリプトジャッキングとは?

セキュリティ管理

はじめに

本記事をご覧いただいている皆様は、「クリプトジャッキング」(Cryptojacking)という言葉を聞いたことはありますでしょうか?2017年まではランサムウェアというファイル等を暗号化して、身代金(Ransom)を要求するマルウェアが流行しましたが、最近ではクリプトジャッキングという仮想通貨をマイニングするマルウェアが急速に増加しています。

今回の記事では、「クリプトジャッキング」と呼ばれるマルウェアについて、その概要と感染しないための対策方法についてご紹介したいと思います。

クリプトジャッキングとは?

クリプトジャッキングとは、主にWebサイトや広告にビットコインを始めとする仮想通貨をマイニング(採掘)するソフトウェアを仕込んで、アクセスしてきた閲覧者に気づかれないように仮想通貨マイニングを行うマルウェアのことを言います。

クリプトジャッキングを理解するために、少し仮想通貨の話を先にしたいと思います。既にご存知の方もいらっしゃると思いますが、仮想通貨はBitCoin、Ethereum、Monero、Rippleといった国に属さない電子的な通貨のことです。

これらの仮想通貨は、ブロックチェーンという仕組みを用いており、特定の国家や作成者などが中央集権的に管理しているのではなく、利用者間で共有・分散され管理されています。中央集権的な管理ではないので、取引記録を管理して改ざん等を防止する仕組みが必要なのですが、その際に、「マイニング」が重要なキーワードになります。

例えば、ビットコインの場合、取引を確認して取引記録をブロックチェーンとしてつなげるために必要な計算をおこなう必要があります。計算の結果、必要な値を発見した人は報酬としてビットコインを得ることができます。そういった行為をマイニングと言いますが、このマイニングには膨大な計算量が必要ですので、通常では電気代等を考えるとなかなか利益を出すのは難しいと言われています。これを他人のPC上で実施させた上で、報酬だけマルウェア作成者が受け取るようなマルウェアや手法のことを「クリプトジャッキング」と呼びます。

なぜ、クリプトジャッキングが増加しているのか?

答えは一つではないと思いますが、弊社マルウェア対策サービスの提供元であるウェブルート社の2018年脅威レポートによりますと、これまでの標的型攻撃やランサムウェア等の従来の攻撃手法と比較して匿名性が高く、簡単で儲かることが増加の要因の一つであるとレポートしています。

通常のマルウェアの場合は、添付ファイルをうっかり実行させたり、ドライブ・バイ・ダウンロードと言われる手法で悪意のあるコードやプログラムを実行させたりして、PCに侵入してから機密情報が含まれたファイルの入手を試みます。一方、クリプトジャッキングの場合は、CPUリソースのみ使用するため、構造的には簡単と言えるでしょう。

また、Coinhiveを始めとするこの類のクリプトジャッキングは、JavaScriptによって動作するものが多いため、ほとんどのPCやブラウザー上で実行可能であり、感染に気付くことや感染を防ぐことが難しい状況となっていることも増加の要因と言えるでしょう。仮想通貨の取引価格が高騰していけば、攻撃者の利益も増加するため、クリプトジャッキングも増加することが予想されます。

主な感染経路

GhostMinerやWannaMineのようにサーバーやクライアントPCの脆弱性を突いて感染させるパターンとCoinhiveのように正規サイトのWebサイトや広告を改ざんし、閲覧者にJavaScriptを実行させるパターンの2つが主な感染経路です。

感染するとどうなるのか?

クリプトジャッキングに感染すると、CPU使用率が高くなりPC全体の動作が重たく感じられたり、バッテリーの消耗が早くなったりといった状況となります。

特定のサイトを閲覧した時のみ、CPU使用率が上がったり、ファンが音を立てて回り始めたりすれば、何か変だなと気づく可能性はありますが、PC利用者の多くはたまたまPCが重いだけかなと見過ごしてしまうと思います。

場合によっては、処理が遅くなって業務が滞ってしまったり、PCやスマートフォン等が熱暴走で故障してしまう可能性もあったりしますので、クリプトジャッキングの感染を予防・検知する仕組みが必要と考えます。

感染しないための対策

クリプトジャッキングに感染しないためには、OSやアプリケーションのセキュリティパッチを適宜適用すること、怪しいサイト・不必要なサイトへのアクセスをブロックすること、マルウェア対策製品の定義ファイルを最新にして定期的にスキャンすることの3つが有効な対策と考えています。

WebブラウザーのJavaScriptを無効にすることも有効な対策の一つではありますが、最近のWebサイトはJavaScriptでの動作を前提としているサイトも多いため、現実的にはなかなか難しいのではと考えています。

まとめ

今回の記事では、クリプトジャッキングについてその概要と感染しないための対策方法についてご紹介いたしました。いかがでしたでしょうか?クリプトジャッキングは、仮想通貨の価値が上がれば、今後も警戒すべきマルウェアとなるでしょう。

なお、弊社では「PIT-マネージドエンドポイントプロテクション」というクラウド上にある脅威データベースを使用して、リアルタイムで不正なIPアドレス、FQDN、ファイルを検知・ブロックできるマルウェア対策サービスや「AppGuardマネージドサービス」という従来の検知型のマルウェア対策製品と異なり、OSのプロセスやメモリー、レジストリへの書き込みを監視・隔離できるサービスを提供しております。

ご興味がございましたら、ぜひ弊社までお問い合わせください。

関連サービス:PIT-マネージドエンドポイントプロテクション
関連サービス:AppGuardマネージドサービス