仮想通貨発掘マルウェアの影響

「Bitcoin（ビットコイン、BTC）」のような仮想通貨の普及に従い、それらを悪用した脅威も確認されています。本記事では、仮想通貨発掘マルウェアの登場による影響とその対策について詳細に解説します。

豪州政府は、法的な支払いにおけるデジタル通貨の利用を承認し、2017 年 7 月 1 日以降、ビットコインのようなデジタル通貨による購入が同国の商品サービス税の課税対象外となりました。これは、二重課税を避けるための措置です。また、合法な取引所におけるデジタル通貨の売買に関して、取引業者および投資家が課税されることもありません。

2016 年 4 月にビットコインによる支払いを合法化した日本では、2017 年中に 2 万カ所以上の店舗でビットコインが利用可能になる見通しです。スイスの企業および一部の公的機関、ノルウェイ、オランダなど、部分的にデジタル通貨の利用を開始する国もあります。2017 年 4 月に発表された研究によると、仮想通貨を管理するウォレットのアクティブユーザ数は 290 万人から 580 万人の間と推定されており、そのほとんどは北米および欧州の利用者です。

では、デジタル通貨の普及と脅威の間にはどのような関連があるのでしょうか。実のところ、非常に多くの仮想通貨関連の脅威が確認されています。ビットコインのような仮想通貨が実世界で取引されるようになるにつれ、仮想通貨を悪用した脅威も増加しています。以下では、サイバー犯罪者が仮想通貨を悪用した攻撃事例と、企業や一般利用者に対するその影響を解説します。

■仮想通貨とは

仮想通貨の実体は、ある通貨単位を表す暗号化された文字列情報です。この情報は、ピア・ツー・ピア（P2P）ネットワーク「ブロックチェーン」によって管理されます。ブロックチェーンは、売買や送金のような取引情報を記録するセキュリティ的に安全な台帳としての役割も担います。通常の通貨とは異なり、仮想通貨は非中央集権化されています。つまり、仮想通貨は、政府やその他の金融機関のような中央管理システムによってではなく、分散化されたネットワークによって発行されるということです。

仮想通貨の発行および管理は、発掘（マイニング）と呼ばれる暗号化アルゴリズムを用いた処理を通して行われます。特定用途向け集積回路（ASICs）のような発掘に特化したハードウェアや PC のネットワークが、仮想通貨を発掘し、取引を検証および処理します。この発掘処理に対して、仮想通貨による報酬が支払われることにより、ネットワークが維持されます。

■ビットコインおよびその他の重要な仮想通貨

2017 年 7 月の時点で700 種類以上の仮想通貨が存在していますが、手軽に取引されているのは少数の通貨のみで、1 億米ドル（2017 年 7 月 5 日のレートで約 113 億円）以上の時価総額を持つ通貨はさらに少数となります。Satoshi Nakamoto 氏（仮名）によって 2009 年にオープンソースのコードとして公開されたビットコインがその一例です。エンドポイント（ノード）間の通信ネットワークが、ブロードキャストされたデータ構造（ブロック）を「ブロックチェーン技術」を用いて検証し、公開された分散型台帳に取引を記録します。

最も有名なビットコインの他にも、人気のある仮想通貨がいくつか挙げられます。「Ethereum（イーサリアム）」は、仮想通貨という枠に収まらず、「スマートコントラクト（自動履行できるようにプログラム化した契約）」の実行基盤という側面も持っています。記述に必要なプログラミング言語の利便性を向上することで、スマートコントラクトを推進しています。条件を定めた取引や契約をイーサリアムのブロックチェーンに記述することで、要件が満たされた際にその契約が自動的に実行されるようにすることが可能です。

2016 年 6 月、イーサリアムを取引に利用する分散型投資ファンド「Digital Autonomous Organization（DAO）」が脆弱性攻撃を受け、5 千万米ドル（2017 年 7 月 5 日のレートで約 56 億 5 千万円）相当の「ether（イーサー、ETH）」が別のアカウントに不正送金されました。これを受け、運営側は不正送金を巻き戻す「ハードフォーク」を実施し、元のブロックチェーンおよびイーサリアムから分岐した新しいネットワーク「EthereumClassic（イーサリアムクラシック）」を作成しました。

他にも、「Litecoin（ライトコイン、LTC）」、「Dogecoin（ドージコイン、DOGE）」、「Monero（モネロ、XMR）」のような注目すべき仮想通貨があります。Litecoin は、ビットコインのSHA256とは異なり、発掘にアルゴリズム「Scrypt」を利用することでより高速な処理が可能になりました。これにより、Litecoin のネットワークは、ビットコインの4倍の頻度でブロックを生成することが可能です。その他のパラメータはビットコインと等しいため、発行総量もビットコインの 4 倍の 8,400 万 LTC（2017 年 7 月 5 日のレートで約 4,611 億円）になります。Monero は、電子署名の一種である「リング署名」と、取引のプライバシー（金額、送信元、送信先）を守るアプリケーション層プロトコル「CryptoNote」の利用によって注目されています。Dogecoin は、もともと教育または娯楽目的で開発されましたが、より広範な人々の用途に応えられるように修正が加えられました。発行総量の上限は無く、発掘には Scrypt アルゴリズムを利用しています。

■サイバー犯罪者の関心を引く仮想通貨発掘の仕組み

仮想通貨には国境がありません。誰もが、いつでも、どこでも、仲介業者への追加／潜在費用や遅延無しに、送金することができます。偽造が不可能で、個人情報が暗号的に守られていることから、仮想通貨は、詐欺や個人情報窃取に対してより安全な通貨だと言えます。

しかし、残念なことに、仮想通貨のこのような利点と匿名性は、暗号化型ランサムウェアによる攻撃で利用されたことから分かるように、サイバー犯罪者にとっても理想的な性質です。仮想通貨がますます人気を集めるなか、感染させたPCや機器を利用して仮想通貨を発掘させる事例も増加しています。

仮想通貨の発掘は、専用のプロセッサ、グラフィックカード、その他のハードウェア等のリソースを大きく消費する計算能力集約的な処理です。その際、発掘によって得られる報酬だけでなく、費用についても注意する必要があります。発掘量はハードウェアへの投資額に比例し、当然それらを動かすのに必要な電力も消費します。

仮想通貨の発掘とは、新しいブロックを生成して取引を処理し、その報酬として仮想通貨を受け取ることを意味します。例えばビットコインでは、2017 年 7 月現在、1 つのブロックを生成すると、12.5 BTC（2017 年 7 月 5 日のレートで約 36 万円相当）が新しく発行され、報酬として発掘者に与えられます。発行総量に制限を設けるため、一定数のブロックが生成されると報酬として発行されるビットコインの量が半減するように設計されています。ビットコインネットワークは、10 分毎に 1 つのブロックが生成されるように、定期的に発掘の難易度が調整される仕組みになっています。つまり、ネットワーク全体の発掘能力が増加すると、それに合わせて難易度が上昇し、より多くのリソースが必要になるということです。報酬は費用に比べて相対的に少額であり、上述のように約 4 年で半減します。実際に 2016 年には、25 BTC から 12.5 BTC への半減が実施されました。結果、多くの発掘者は、協力して発掘することで効率化を図るようになります。その際、報酬は発掘作業への貢献度に応じて分割されます。

■仮想通貨発掘マルウェアによる攻撃の類似性

仮想通貨の発掘に必要なリソースを確保するため、サイバー犯罪者はマルウェアを利用します。ここで、注意すべき点が1つあります。インターネットに接続された機器および PC は、ネットワークデータの処理には十分な能力を備えていますが、広範で複雑な計算を実行するには性能不足です。この課題に対処して複雑な計算を処理するために、通常、仮想通貨発掘マルウェアは PC を乗っ取って「ゾンビ化」し、ボットネットを構築します。2014 年には、大胆にもハーバード大学のスーパーコンピュータ「Odyssey」がDogecoin の発掘に不正利用されました。この年、同様の事例が米国立科学財団が保有するスーパーコンピュータでも起きています。また、2017 年 2 月上旬には、米連邦準備銀行のサービスがビットコインの発掘に不正利用されました。

仮想通貨発掘マルウェアも、スパムメールの添付ファイル、不正な URL 経由のダウンロード、「Potentially UnwantedApplications（迷惑アプリ、PUA）」等、その他の脅威と同様の手口を利用します。2014 年 1 月には、「Yahoo!」の広告ネットワークが Java の脆弱性攻撃を受け、欧州の利用者の PC に「malvertisement（不正広告）」経由でビットコイン発掘マルウェアがダウンロードされました。その 1 カ月前には、ドイツの法執行機関が、マルウェアを利用して 954,000 米ドル（2017 年 7 月 5 日のレートで約 1 億 799 万円）以上相当のビットコインを発掘したとして、ハッカーを逮捕しています

トレンドマイクロは、早くも 2011 年には、ビットコインの不正発掘に関連したハッキングツールおよびバックドアの出現を確認しており、それ以来、「分散型サービス拒否（distributed denial-of-service、DDoS）」攻撃や、リンクテキストを偽装した不正 URL のような、より多くの機能を備えた様々な仮想通貨発掘マルウェアを確認してきました。トレンドマイクロ製品のコンポーネントに偽装したマルウェアさえ確認されています。2014 年には、Android 機器を狙う不正アプリ「KAGECOIN（ANDROIDOS_KAGECOIN.HBTとして検出）」が登場しました。このマルウェアは、ビットコイン、Litecoin、Dogecoin を発掘する機能を備えています。中東のアンダーグラウンド市場で共有されていた「remote access trojan（RAT）」の 1 つ「njRAT／Njw0rm」にビットコイン発掘機能が追加されたマルウェアも確認されています。同じことが古い Java の RAT に行われ、Litecoin を発掘する機能が追加されたマルウェアも見つかっています。

2017 年に確認された注目すべき仮想通貨発掘マルウェアは、今のところ、「Adylkuzz（アディルクズ、「TROJ_COINMINER.WB」として検出）」、「CPUMiner/EternalMiner」、「Linux.MulDrop.14」です。これらはすべて脆弱性攻撃を行います。Adylkuzzは、猛威を振るった暗号化型ランサムウェア「WannaCry」と同様に、EternalBlueを利用します。CPUMiner／EternalMiner は、Linux および Unix 用の標準的な Windows 相互運用性プログラムスイート「Samba」の脆弱性「SambaCry」を利用します。Linux を狙うトロイの木馬型マルウェア Linux.MulDrop.14 は、シングルボードコンピュータ「Raspberry Pi」機器を標的とします。これらの脅威は、感染した機器や PC をボットネット化し、Monero を発掘します。

■仮想通貨発掘マルウェアによる脅威の可能性大

仮想通貨発掘マルウェアは、感染したPCのリソースを盗用し、パフォーマンスに重大な影響を与え、機器の損耗を早めます。また、消費電力の増加のように、感染による影響にはその他の費用も含まれます。

仮想通貨発掘マルウェアの影響は、パフォーマンスの問題に限定されるわけではありません。2017 年 1 月 １ 日から 6 月 24 日の期間を対象に弊社が収集したデータによると、4,894 台のビットコイン発掘機器による 460,259 回の発掘活動が検出され、それらのおよそ 20 % 以上が Web およびネットワークベースの攻撃を引き起こしていたことが確認されています。さらに、ランサムウェアの攻撃に関連した侵入の試みも確認されています。弊社が確認したそれらの攻撃で頻度の高いものは以下の通りです。

• クロスサイトスクリプティング（XSS）
• 遠隔で任意のコードが実行可能な Microsoft Internet Information Services（IIS）6.0 の脆弱性攻撃
• ブルートフォース（総当たり）および初期パスワード攻撃によるログインの試行
• バッファオーバーフローを発生させるコマンドを利用した脆弱性攻撃
• PHP に対する任意のコード注入
• SQL インジェクション
• DDoS 攻撃手法「BlackNurse」

これらのマルウェアは、ネットワークやPCの可用性、整合性、セキュリティに脅威をもたらし、企業の重要業務を中断する恐れがあります。また、情報窃取や PC の乗っ取りのような重大な影響も考えられます。これらの攻撃は、別のマルウェアを送り込む通路としても利用されるかもしれません。

デジタルビデオレコーダ（DVR）や監視カメラ、セットトップボックス（STB）、ネットワーク・アタッチト・ストレージ（NAS）、特にルータが家庭や企業に広く普及していることを考えると、「モノのインターネット（Internet of Things、IoT）」機器が仮想通貨発掘マルウェアに狙われたとしても不思議はありません。2017 年 4 月には、ビットコイン発掘機能を備えた「Mirai」の亜種が登場しました。Mirai は、2016 年 10 月、特に家庭用ルータのような IoT 機器に感染して DDoS 攻撃を実施し、有名なサイトをダウンさせたことで悪名高いマルウェアです。2016 年の第 1 四半期から第 3 四半期にかけ、Windows PC、家庭用ルータ、ネットワークカメラをゾンビ化しビットコインを発掘する攻撃が検出されています。

2017 年 1 月 1 日から 6 月 24 日には、別の種類の機器によるビットコインの発掘を確認していますが、これらの活動が不正なものであるかどうかは判明していません。1 日当たりのビットコイン発掘活動の検出は、2017 年 2 月の 1,800 回から、2017 年 3 月には 3,000 回に急上昇しています。

多くの国では、少なくともビットコインの発掘自体は合法です。ただし、機器の所有者の合意が無い場合、それは不正行為となります。Windows PC による発掘活動が最も多く確認されていますが、以下の OS および機器にも注意が必要です。

• iOS（iPhone4 から iPhone7）を含めた Mac OS
• Debian Linux OS から派生した Ubuntu OS
• 家庭用ルータ
• データセンターで利用される環境監視機器
• Android OS を利用したスマート TV およびモバイル機器
• ネットワークカメラ
• プリンタサーバ
• ゲーム機器

■感染 PC をゾンビ化する仮想通貨発掘マルウェアへの対策

仮想通貨発掘マルウェアは、PC のパフォーマンスを損ない、一般の利用者および企業を、情報窃取、PC の乗っ取り、その他のマルウェアへの感染などの危険にさらします。また、ゾンビ化された PC の所有者は、意図せずしてサイバー犯罪の片棒を担がされてしまいます。

仮想通貨発掘マルウェアが機器に感染し、一般の利用者や企業の資産および情報に与える最終的な影響の大きさを考えると、今後もこのような脅威の可能性は高いと考えられます。これらのマルウェアに対する万能薬はありませんが、以下の対策を実施することで被害を軽減することが可能です。

• 最新のパッチを利用して機器を更新することにより、侵入経路として利用可能な脆弱性から機器を守る。
• 初期設定の認証情報を変更／強化することにより、不正アクセスの可能性を減らす。
• 家庭用ルータのファイアウォールを有効にし、可能なら侵入検知・防止システムを利用する。
• 既知の攻撃経路（ソーシャルエンジニアリングを利用したリンク、添付ファイル、疑わしい Web サイトからダウンロードしたファイル、疑わしいサードパーティ製ソフトウェア／アプリケーション、迷惑メール）に注意を払う。

IT／システム管理者および情報セキュリティ担当者は、ホワイトリスト方式によるアプリケーション制御、あるいはそれに準じた仕組みにより、疑わしいファイルのインストールおよび実行を防ぐことを検討してください。積極的にネットワークを監視することにより、マルウェアへの感染を示す危険信号を検出することが可能です。最小権限の原則を適用し、Webインジェクションへの対策を実施し、電子メールのゲートウェイの安全を守り、企業におけるモバイル端末管理の成功事例を採用してください。また、それらの脅威に対する露出を減らすため、より厳重な防御策の一環として従業員に対するサイバーセキュリティ教育を実施してください。ただし、最終的には、インターーネットに接続された機器のセキュリティは利用者にとって負担でしかありません。製造業者もまた、彼らが事業活動を行う環境を守る上で重要な役割を果たすべきです。

参考記事：

• 「Security 101: The Impact of Cryptocurrency-Mining Malware」
  by Kevin Y. Huang (Threats Analyst)

翻訳：澤山 高士（Core Technology Marketing, TrendLabs）