現在、有力な仮想通貨のひとつに「Bitcoin(ビットコイン)」があります。このビットコインの「発掘(マイニング)」をユーザの PC上で無断で行う、ビットコイン発掘不正プログラムの被害が世界的に確認されています。この不正プログラム被害に関するトレンドマイクロの調査で、特に日本での被害が多い実態が明らかになりました。
ビットコインとはネット上などでの決済に使用できる仮想通貨の 1つです。ビットコインの特徴として、発行元となる運営会社を持たず、P2P のシステムにより運営されている点があげられます。P2P ベースであるため、他の仮想通貨と比べて非常に低いコストで取引が行えると同時に、取引の匿名性が高くなっています。また、この P2P ベースで行われるビットコインの処理を支える仕組みとして、マイニングがあります。マイニングとはビットコイン取引に必要な計算に協力した対価としてビットコインを獲得できる、というビットコイン処理の仕組みです。「ビットコインマイナー」と呼ばれる、ビットコインマイニング用のツールも一般に出回っています。
このビットコインのマイニングが攻撃者に悪用されています。侵入した PC上でビットコインマイニング用ツールをインストールしたり、不正プログラム自身がビットコインマイニングの処理を行い、金銭利益を得る攻撃は以前から確認されていますした。 今回、トレンドマイクロのクラウド型セキュリティ対策基盤である「Smart Protection Network」においてビットコインマイニングを行う不正プログラムの被害傾向について調査を行ったところ、ビットコイン発掘不正プログラムやそれに悪用されたマイニング用ツールに関して、過去 3カ月間に全世界で約 1万2千台以上の感染が確認されました。
| 感染台数 | ||
| 2013年9月 | 5,867 | |
| 2013年10月 | 2,518 | |
| 2013年11月 | 3,828 | |
| 計 | 12,213 | |
| 表1:過去 3カ月の全世界でのビットコイン発掘不正プログラム感染台数 | ||
そして、この感染被害は特に日本とアメリカで多いことも確認できました。日本が全体の約 1/4 にあたる 24%で最も多く、アメリカは 21%の感染があり、併せて全世界の感染台数の 4割以上を占めます。他の国はオーストラリアの 6.8%が最高で他はすべて 5%未満と、日米以外では広く被害が分散している状況です。
| 国別感染割合 | ||
| 1 | 日本 | 24.02% |
| 2 | 米国 | 21.34% |
| 3 | オーストラリア | 6.83% |
| 4 | インド | 4.20% |
| 5 | フランス | 4.03% |
| 6 | 台湾 | 3.98% |
| 7 | ドイツ | 2.85% |
| 8 | カナダ | 2.55% |
| 9 | イタリア | 2.50% |
| 10 | 英国 | 2.47% |
| その他 | 25.23% | |
| 表2:過去 3カ月におけるビットコイン発掘不正プログラムの国別感染割合 | ||
ビットコイン発掘不正プログラムの攻撃手法は、これまで確認されているオンライン銀行詐欺ツールや偽セキュリティソフトと言った不正プログラムによるオンライン詐欺攻撃と同様、と言えます。最初にユーザ環境内に侵入した不正プログラムは、ビットコインマイニングを実行するため他の不正プログラムや一般的なツールを、外部サイトよりダウンロードしインストールする脅威連鎖を行います。この時、当然マイニングの成果は攻撃者の元に帰するよう設定されます。つまり、攻撃者のビットコインマイニングのために、ユーザの PCリソースが盗用されることになります。ビットコインマイニングには非常に多くの CPUパワーを必要とします。「PC リソースの盗用」という攻撃者視点で考えれば、性能の高い PC を使用しているユーザを狙った方が有利です。この標的とすべき性能の高い PC を使用している可能性が高い国として、日本が狙われていることが推測されます。
新しい仮想通貨として注目されているビットコインですが、取引の匿名性の高さゆえに、サイバー犯罪者が好んで使用する仮想通貨ともなっています。また、実際の通貨同様に市場での取引も行われていますが、その取引価格は大きく変動しており、ほんの 2カ月前の10月2日には 123米ドルだった終値が、今月12月4日には 1,230米ドルと 1カ月で 10倍の価値になっています。このようにビットコインの価値が高まるほど、ビットコインを狙う攻撃も増えていくことが予想されます。実際、先月 11月には最大規模のビットコイン取引所サイトの 1つ、「Mt.Gox」を狙ったフィッシングサイトが確認されています。また、12月にはある Proxy のフリーウェアがユーザには明示せずビットコインマイニングを行っていたことが発覚した事例もあります。このフリーウェアは EULA(ソフトウェア利用許諾書)に「プログラムを走らせた際の数値計算の結果による手数料などは弊社に帰属する」という一文を入れたうえで、ビットコインマイニングを行っていました。このように、ビットコインを利用しているユーザはもちろん、ビットコインをまったく使用していないユーザにおいても、ビットコイン発掘不正プログラムの侵入により PCリソースを攻撃者の利益のために盗用される被害を受ける可能性があります。ビットコインを狙う攻撃はすべてのユーザが注意すべき問題と言えます。
■トレンドマイクロの対策
本稿で紹介したビットコインマイニングを行う不正プログラムは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の 1つである「ファイルレピュテーション」技術により、「BKDR_BTMINE」、「TROJ_COINMINE」などの名称で検出対応を行っております。また、不正プログラムに悪用されるビットコインマイニング用ツールは「HKTL_BITCOINMINE」などの名称で検出します。また、不正プログラムがアクセスする不正サイトを「Webレピュテーション」技術によりブロックすることにより、脅威の連鎖を防ぎます。