クラウドネイティブを学ぼう!

クリプトジャッキングとは?

SHARE:

クリプトジャッキングとは、コンピュータやデバイスを不正に使用して暗号通貨を採掘することです。これは通常、被害者のデバイスにマルウェアをインストールし、その処理能力を利用して、被害者の知識や同意なしに暗号通貨を採掘することで行われます。
クリプトジャッキングは、デバイスのパフォーマンスを低下させ、エネルギー消費量を増加させるため、被害者のデバイスに重大な影響を与える可能性があります。これは、被害者や企業からリソースを吸い取る寄生虫のような役割を果たすため、利益に悪影響を及ぼします。

クリプトジャッキング

What You will Learn

  • ハッカーがクリプトジャッキングを使う理由と、その効果

  • 実在のクリプトジャッキング - 有名な例

  • それを検出する方法、あるいは、よりよい方法として、それを防ぐ方法

クリプトジャッキングの主な目的とは?

クリプトジャッキングの主な目的は、匿名で簡単かつ迅速に金銭を稼ぐことです。ブロックチェーンの透明性により、潜在的な攻撃者を特定し、その正体を暴くことは不可能ではありませんが、困難です。この方法に頼るのではなく、クリプトジャッキングを検出して、発生前に阻止するプロセスの導入が不可欠です。

クリプトジャッキングの被害者は、必ずしも大規模で顔が見えないという団体ではなく、コンピュータを使用するなら誰でも、つまりあなた自身も含まれます。クラウドソーシングデバイスは、スマートフォン、タブレット、スマートホームデバイスなどの接続された多数のデバイスを悪用して暗号資産をマイニングするもう一つの手法です。つまり、攻撃者は、大規模な計算能力を持つ1台のコンピュータを探すのではなく、数千台のデバイスを共同で利用して暗号資産をマイニングしています。

クリプトマイナーとクリプトジャッキングとの関係

クリプトジャッカーはマルウェアを使用して被害者のデバイスに侵入し、その処理能力を利用して暗号資産のマイニングを行います。このマルウェアは、ウェブサイトやアプリに埋め込まれており、被害者が気づかないうちに静かにダウンロードされ、インストールされるように意図的に隠されています。マルウェアがインストールされると、デバイスの処理能力を利用して、ブロックチェーン上の取引を確認するために膨大な処理能力とエネルギーを必要とする複雑な数学的問題を解きます。クリプトジャッカーは、これらの取引を最初に解決し確認した報酬として暗号資産を受け取ります。この暗号資産は攻撃者の仮想ウォレットに送金され、攻撃者が被害者の費用で利益を得る仕組みとなっています。

クリプトマイニングとその人気の高まり

暗号資産の価値が時間とともに上昇するにつれ、クリプトマイニングは注目を集めるテーマとなっています。利益が急増するにつれ、暗号資産のマイニングで利益を得ようとする個人や企業の数も増加しています。マイニングの供給増加と、ブロックチェーン上で取引を確認する難易度(つまり暗号資産をマイニングする難易度)の時間の経過に伴う上昇が、同じ報酬を争う多くの主体が競い合う「デジタルゴールドラッシュ」を引き起こしています。この競争の激化に伴い、クリプトジャッキング(暗号資産のマイニングを不正に利用する行為)を通じて不正に大量の計算能力を獲得する手法も増加しています。

クラウド攻撃のしくみを分析

クラウド攻撃のしくみを分析

ガイドを読む

クリプトジャッキングはどのように行われるのか?

クリプトジャッキングの仕組みを説明する前に、クリプトマイニングの仕組みを理解することが重要です。クリプトマイニングとは、ブロックチェーンネットワーク上の取引を検証し、暗号資産の報酬を獲得するために、コンピュータの処理能力を用いて複雑な数学的方程式を解くプロセスです。マイニングを行うマシンには非常に高価なハードウェアが必要で、大量のエネルギーを消費します – これはコストがかかります。攻撃者は、暗号通貨をマイニングするためのマシンを購入するための大規模な資本投資は必要ないと考え、代わりにそれを負担できる企業のリソースを悪用します。

クリプトジャッキングは、ネットワークに接続されたデバイスに悪意のあるコードを埋め込み、実行されると被害者のリソースを使用して暗号通貨のマイニングを開始します。マイニングされたコインは攻撃者のウォレットに送られ、これは現実の通貨(例えば米ドル)と換金可能な価値の形態を表します。

実際に発生したクリプトジャッキングの事例

暗号通貨のマイニングでは、処理能力がすべてです。したがって、より高性能なコンピュータを使用すれば、より良い結果が得られます。この点を踏まえ、2018年にロシアの核科学者が、連邦核センターにあるスーパーコンピュータを不正に使用してビットコインのマイニングを行っていたことが発覚しました。彼はそのスーパーコンピュータへの正当なアクセス権を持っていましたが、自国の資源を不正に利用して利益を得ていました。

2017年には、米国連邦通信委員会(FCC)の公式ウェブサイトがハッキングされ、コメントセクションに不正なJavaScriptが埋め込まれ、訪問者のコンピュータを利用して暗号通貨を採掘する「クリプトジャッキング」が発生しました。この攻撃は数日間検出されず、セキュリティ研究者が偶然発見するまで続きました。

2018年には、Showtime Networkのウェブサイトに悪意のある広告が掲載されました。この広告には、訪問者のコンピュータを使用して暗号通貨をマイニングする暗号マイニングスクリプトが含まれていました。このスクリプトは、Showtime のウェブサイトを訪問したユーザーから重大なパフォーマンスの問題が報告され、発見されて削除されるまで、数週間にわたって稼働していました。

より身近な例としては、2022年に、脅威アクターが複数のクラウドおよび継続的インテグレーション/継続的デプロイメント(CI/CD)サービスプロバイダーを利用して、大規模かつ活発な暗号マイニング活動を行った事件があります。

低リスクで高報酬

先ほど説明したように、クリプトジャッキングはリスクが低く、報酬が高いとされています。これは、ブロックチェーン上で資金の流れを追跡するために十分なリソースが投入される可能性が極めて低く、最終的に攻撃者の身元が特定される可能性が低いからです。個人情報の窃取や銀行口座のハッキングなどの他のサイバー犯罪と比べると、必要な労力と、その労力に基づいて収益化できる可能性の点で、クリプトジャッキングが圧倒的に有利です。

さらに、手法とペイロードが開発・展開されると、他の潜在的な被害者に容易に複製し、収益を拡大してさらに多くの利益を得ることが可能です。

クリプトジャッキングを検出する方法

幸い、クリプトジャッキングは比較的検出が容易で、いくつかの方法で発見することができます。

  • ウイルス対策ソフトウェアがインストールされており、それが最新の状態であることを確認してください。
  • リソースの使用状況を継続的に監視してください。
    • たとえば、サーバーやコンピュータの CPU 使用率が通常 40% であるのに、ある日 90% に持続的に上昇した場合は、さらに詳しく調査する必要があります。
  • サーバーまたはコンピュータで実行されている不明なタスクを特定して停止します。
  • そのコンピュータまたはサーバーとの間で、異常なネットワークアクティビティを特定してブロックします。
  • コンピュータのリソースを盗もうとするマイニングスクリプトを識別してブロックするブラウザ拡張機能を活用します。
  • 優れた監視ツールを使用して、強力な監視およびセキュリティ戦略を策定し、維持します(組織の場合)。

異常な動作に関するアラート

企業は、短期間で大きな利益を上げるためのリソースを保有しているため、攻撃者に対してより脆弱である可能性があります。このことを踏まえ、セキュリティチームは、ログをインデックス化し、暗号通貨の不正マイニングなどの問題の兆候を検知したら、関連付けを行ってアラートを発する監視プラットフォームを導入することが重要です。これは、サーバーの利用状況を長期的に傾向分析し、基準値または予想値を設定し、実際の値が予想値から外れた場合にアラートを発することで実現できます。

クラウドプロバイダーのセキュリティツール

クラウドベースのテクノロジーの台頭に伴い、クラウドベースのセキュリティ機能も登場しています。大手 3 社(AWS、Azure、GCP)を見ると、いずれも、クリプトジャッキングを迅速に検出するための何らかのセキュリティ機能を提供しています。その例としては、次のようなものがあります。

  • CloudTrail および CloudWatch:これらのサービスは、ネットワークアクティビティを監視し、クリプトジャッキングによる可能性のある異常なパターンを検出するために使用できます。
  • VPC Flow Logs:このログを使用すると、ネットワークトラフィックを追跡し、クリプトジャッキングマルウェアによって引き起こされる可能性のある異常または不要な接続を検出できます。
  • クラウドネイティブのウイルス対策ソフトウェア:クラウド用に設計されたウイルス対策ソフトウェアです。
  • セキュリティセンター:AWS および Azure Security Center は、セキュリティに関する推奨事項を提供し、悪意のある可能性のあるアクティビティを検出して警告します。
  • Stackdriver for GCP:Stackdriver は、GCP リソースをリアルタイムで監視できるログ記録および監視サービスです。クリプトジャッキングを検出できるカスタムアラートを設定できます。

クリプトジャッキングを防ぐ方法

クリプトジャッキングから自分自身や会社のリソースを守るための確実な対策は1つだけではありませんが、多層的なセキュリティ戦略を策定することが重要です。一般的な対策には以下のものが含まれます:

  • オペレーティングシステムおよびソフトウェアを最新の状態に保ちます。これにより、攻撃者がシステムに悪意のあるソフトウェアを植え付けるために使用する既知の脆弱性が除去されます。
  • 信頼できないソースからソフトウェアをダウンロードする場合は、注意してください。
  • ネットワークファイアウォールを使用します。
  • 潜在的な脅威を識別し、実行される前に阻止するブラウザ拡張機能(NoScript など)をインストールします。
  • ユーザーを教育します。ユーザーが環境に不必要なリスクを持ち込まないようにします。

結論

結論として、クリプトジャッキングは、暗号資産の価値が急上昇するにつれて急速に拡大しているサイバー犯罪の一種です。この犯罪は、最小限の労力で実行でき、透明性が低く、容易に拡大・複製・収益化できるため、攻撃者にとって魅力的な標的となっています。幸いなことに、この悪意のある活動を検知し、重大な金銭的損害を引き起こす前に阻止する方法はいくつかあります。ダウンロードするファイルに注意し、システムのパフォーマンスを監視し、ソフトウェアを常に最新状態に保つことで、攻撃者の侵入を困難にすることができます。