クリプトジャッキングとは？その仕組みと対策

暗号通貨の価値が高まると、ユーザーから暗号通貨を盗む、マルウェア攻撃者が増加します。暗号通貨の生成には、数学的問題を解決するためのコンピュータリソースが必要です。コンピュータリソースが多ければ多いほど、より多くの暗号通貨を生成することができます。クリプトジャッキングとは、ユーザーを騙して自分のコンピューターやモバイルデバイスを使用させ、攻撃者のために暗号通貨を生成させるプロセスのことです。このマルウェアは、コンピュータリソースを盗み、正当なプロセスのパフォーマンスに害を与えるバックグラウンドプロセスです。

暗号通貨を生成するプロセスは 「マイニング」と呼ばれています。マイニングする人（マイナー）は、数学的な問題を最初に解くことを競い合います。問題を最初に解決したマイナーには暗号通貨が与えられ、その価値はブロックチェーンに追加されます。ブロックチェーンとは、ユーザーが新しい通貨を生成し、使用、送金すると、データのブロックにチェーンが追加される台帳のことです。ブロックチェーン技術は、暗号通貨を追跡し、誰が所有しているのか、どれくらいの価値があるのかを判断するために使用される、ひとつの長いデータの連鎖です。

数学的問題を最初に解決するために、マイナーは強力なコンピューティングリソースを必要とします。暗号通貨が普及する前は、強力なビデオカード (GPU) を搭載したデスクトップのホームユーザーが暗号通貨を採掘することができましたが、現在では、採掘者の時間と機器を動かすための電気代を補償するのに十分な高い頻度で暗号通貨を生成するために、大規模なマイニングファームが必要です。

暗号通貨を採掘する正当な方法は、グループでコンピュータのファームを使用し、報酬を共有することです。クリプトジャッキング攻撃では、攻撃者はマルウェアや悪意のあるJavaScriptページを使って、第三者のコンピュータを使って攻撃者のためにマイニングを行います。ユーザーのコンピュータにインストールされたマルウェアは、暗号通貨をバックグラウンドで採掘し、攻撃者のアカウントに送金します。ローカルマルウェアは、コンピュータから削除しないと停止しないため、JavaScript攻撃よりもはるかに持続性があります。JavaScript攻撃は、ウェブページに接続しているユーザーのコンピューティングパワーを利用します。ウェブページが閉じられると、コンピューティングリソースは解放されます。

マルウェアの場合、攻撃者はキーロガーやクリップボードスニッファーを使用して、標的となるユーザーの秘密鍵を取得することがよくあります。ユーザーの秘密鍵は、ユーザーの暗号通貨アカウントへのアクセスを提供するパスワードに似ています。攻撃者が秘密鍵を入手すると、ユーザーの暗号通貨口座から資金を流出させ、攻撃者の口座に資金を送金することができます。このような攻撃により、十分に保護されていない場合、ユーザーは数百万の暗号通貨を失うことになります。

優れたクリプトジャッキングマルウェアは、検知されないように自らスロットルを作動させますが、ほとんどの攻撃者は、マルウェアが除去されるまで、コンピュータ上で利用可能な限りのリソースを使用します。バックグラウンドで実行されているソフトウェアがほとんどないにもかかわらず、コンピュータのCPUやメモリの使用率が高い場合、クリプトジャッキングの標的になっている可能性があります。リソース使用量が急増すると、コンピュータの動作が遅くなり、通常のコンピューター活動のパフォーマンスに影響を与えます。ウィンドウズのタスクマネージャーツールでは、リソースの使用状況を確認することができます。タスクバーを右クリックして「タスクマネージャー」を選択し、ツールを開きます。「パフォーマンス」タブをクリックします。

上の画像では、CPU使用率が表示されています。プログラムがほとんど実行されていない状態で、90％以上の高いCPU使用率があった場合、バックグラウンドでマルウェアが実行されている可能性があります。クリプトジャッキングでは、メモリ使用量も急増します。リソースの使用量が多いことに加えて、オーバーヒートもクリプトジャッキングの兆候です。

既知のクリプトジャッキングマルウェアについては、マルウェアがローカルコンピュータ上で実行される前にアンチマルウェアが検出します。また、クリプトジャッキング用のJavaScriptコードを含む悪意のあるWebページを検出するアンチマルウェアの能力も向上しています。

クリプトジャッキングは、暗号通貨の人気が高まっていた頃ほど一般的ではありません。精通した攻撃者は、人気のあるウェブサイトにクリプトジャッキング用のマルウェアを感染させますが、それはサイトへの訪問者が多いほどリソースが増えるためです。2017年、研究者はShowtimeのオンラインストリーミングサイトにクリプトジャッキングマルウェアが含まれていることを発見しました。2018年2月には、研究者がLos Angeles Timesのサイトでクリプトジャッキングを発見しました。

クリプトジャッキングで発生した金額は不明ですが、研究者は数百万ドルに上る可能性があると推定しています。2018年、研究者は、暗号化ボットネット「Smominru」が約50万台のデバイスに感染することで、360万ドルの暗号通貨を生み出すことができたと推定しています。

システムにアクセスして、暗号通貨を盗むバックグラウンドプロセスをインストールするために、クレデンシャルの盗用が流行しています。PowerGhostマルウェアは、Windowsの認証情報を盗み、人気の高いEternalBlueエクスプロイトを使用して他のWindowsマシンに拡散します。このマルウェアは、競合する暗号化ソフトウェアとともに、ウイルス対策ソフトウェアを無効にしようとします。

暗号解読ワーム「Graboid」は、インターネット上に公開されているDockerコンテナに認証なしで拡散します。Graboidは、Dockerのリソースを利用して暗号通貨を採掘します。Graboidは2,000以上のDockerコンテナに感染したと推定されています。

優れたクラウドジャッキングソフトウェアは、リソースの使用量を調整します。MinerGateは、ユーザーがローカルデスクトップで活動しているときに実行を停止するようにプログラムされています。活動中にシャットダウンすることで、ユーザーがシステム上のマルウェアを検出する可能性が低くなり、より多くのマシンでMinerGateを長く使用することができます。

攻撃者は、オープンソースのGitHubリポジトリを利用して、一般的なソフトウェアにクリプトジャッキングのコードを注入することができます。攻撃者は、コードリポジトリに正当な変更が加えられたように見せかけるために、ソフトウェアをフォークします。暗号解読コードを追加するには、数行のコードが必要なだけで、他の数百行のコードの中にうまく紛れ込ませることができます。ユーザーが新しいバージョンのソフトウェアをダウンロードすると、クリプトジャッキング・マルウェアは、大規模なコンピューティングリソースを持つ企業のサーバーなど、潜在的に数千台のマシンに広がることになります。

クリプトジャッキングを回避する最も効果的な方法は、デバイスにマルウェアをインストールしないことです。不審な実行ファイルをダウンロードしても、優れたウイルス対策ソフトがマルウェアの実行を阻止してくれるはずですが、この方法はすべてのクリプトジャッキングに対して信頼できるものではありません。ゼロデイソフトウェアは、検出を回避するようにコード化されており、削除されないようにアンチウイルスを無効にすることもあります。

組織の場合、発信されるマルウェアのトラフィックを検出し、監視することができます。マルウェアが外部のサーバーに接続する必要がある場合、ファイアウォールを使用して送信トラフィックを停止することができます。疑わしいトラフィックが検出され、監視ソフトウェアが管理者に通知を送った場合、データ漏えいの可能性を検討する必要があります。

クリプトジャッキングを含むWebページでは、Webページを閉じるだけで問題が解決します。悪質なクリプトジャッキングのページでは、リソースの使用量が急増するため、リソースが枯渇する前にコンピュータがクラッシュしてしまうことがあります。しかし、リソースの消耗の原因となっている可能性のあるブラウザタブを閉じることで、クリプトジャッキングマルウェアは停止し、デバイスは以前の使用量に戻ります。