サイバー犯罪者は、多くの場合、彼らに対抗する「ホワイトハット」を圧倒しているように見えます。サイバー犯罪者は、匿名で世界中のどこからでも攻撃を仕掛けて人々を驚かすことができるからです。そうした中、ホワイトハット側が対抗できる有効な手立ての1つがコラボレーション、連携です。トレンドマイクロでは、サイバー犯罪者に対抗するための有効な連携を念頭に、法執行機関、学術機関、政府機関、その他のサイバーセキュリティ企業とのパートナーシップを進めてきました。
中でも、「国際刑事警察機構(インターポール)」の「シンガポール総局(INTERPOL Global Complex for Innovation、IGCI)」とトレンドマイクロのコラボレーションは、数あるパートナーシップの中でも、最新の成功例と言えます。この連携では、コインマイナーの感染者数を78%減少に貢献しました。
■ 増大する仮想通貨マイニング活動
コインマイナーを使用したサイバー犯罪者による不正な仮想通貨マイニング活動は、「クリプトジャッキング」の名称でも知られ、金銭取得の手口として増加し続けてきました。
この手口が増加し続けている理由の1つとしては、ユーザが感染被害に気づきにくい点が挙げられます。コインマイナーは、ユーザのシステムに感染した後、ユーザに気づかれないまま24時間365日休みなく、仮想通貨のマイニングを実行し続けます。さらにサイバー犯罪者は、マイニング活動を増やして収益を高めるため、企業のITシステムやクラウドサーバに対してより巧妙な攻撃を仕掛ける機会も追求しています。ただし、多くの場合、セキュリティが比較的手薄なルータなど、家庭用のデバイスが標的にされやすい傾向にあります。サイバー犯罪者は、これら感染デバイスをつなぎ合わせてボットネットを形成することで金銭取得に利用します。
実際、「2019年上半期セキュリティラウンドアップ」でも、コインマイナーの検出台数が全体の検出台数の中で上位を占めている点が指摘されていました。
コインマイナーによる不正マイニング活動は、機密データ侵害、フィッシング攻撃、ランサムウェア、バンキングトロジャンなどとは異なり、感染したPCやデバイスのユーザに必ずしも深刻な被害が及ぶわけではありません。ユーザは、機密情報や個人情報を失うわけではなく、個人情報を悪用した詐欺被害に遭うわけでもありません。使用しているデバイスやPCがロックされ、身代金が要求されるわけでもありません。
しかし全く被害がないわけではありません。コインマイナーに感染すると、家庭用ネットワークの速度が低下したり、割高な電気代が発生したり、ご使用の家庭用PCの寿命が短くなる可能性もあります。また、コインマイナーを感染させたサイバー犯罪者が手口を変えたり、感染の痕跡を利用したりするなどして、将来的に別の攻撃を仕掛ける危険性もあり、常にさまざまなマルウェア感染の可能性にさらされている状態と言えます。
■ Goldfish Alpha作戦への支援
こうした状況を考慮し、トレンドマイクロでは、2019年、東南アジア地域のコインマイナー感染ルータを対象にしたインターポールのセキュリティ活動「Operation Goldfish Alpha(Goldfish Alpha作戦)」での積極的な支援を約束しました。そして、トレンドマイクロが提供する攻撃傾向と感染率に関する世界規模の監視システムから、同年6月、ASEAN法執行機関担当者との作戦準備会議で、クリプトジャッキングの脅威規模および主要緩和手順を提案することができました。
それから数か月後、インターポールとトレンドマイクロは、主要なクリプトジャッキングの緩和および防止に関するガイダンス文書「Cryptojacking Mitigation and Prevention」を作成・配布しました。同文書では、MikroTik製ルータの脆弱性によって東南アジア地域の無数のユーザがコインマイナー感染のリスクにさらされる経緯や手法を詳しく解説しています。さらに「オンラインスキャン for Home Networks」による関連脆弱性のスキャン方法、サイバー犯罪者が感染PC上で仮想通貨をマイニングする際に使用するJavaScriptの検出および削除に関する方法も説明しています。
■ 連携の大きな成果
同作戦が遂行された5か月間、東南アジア地域全体の10か国に渡る「Computer Emergency Response Teams(CERTs)」および法執行機関の専門家が協働し、感染ルータの特定、被害者への通知、ガイダンス文書による脆弱性適用やサイバー犯罪者排除などに取り組むことができました。
こうして同地域の2万を超える感染ルータの特定に貢献し、2019年11月までに感染ルータ数を78%も減らすことに成功しました。
今回のケースは、まさしく法執行機関とサイバーセキュリティ企業との官民連携の真価が発揮された好例と言えます。トレンドマイクロの有する業界の専門知識、可視性、人材、実績が、法執行機関の調査執行能力と連携することで最大限の効果が発揮されました。トレンドマイクロは、今後も、あらゆる力を集約して脅威に立ち向かい、デジタルインフォメーションを安全に交換できる世界の実現を目指します。
■トレンドマイクロの対策
Trend Micro Smart Home Network(SHN)は、家庭用ネットワークに接続されたすべてのデバイスに対するネットワークアクセス管理を可能にし、サイバー攻撃のリスクから守る組込み型ネットワークセキュリティソリューションです。大手家庭用ルータベンダーの多くがすでにこのソリューションを採用し、すでに国内外の100万以上の家庭で利用いただいており、トレンドマイクロの豊富な脅威リサーチの経験と業界をリードするDPI(Deep Packet Inspection)技術に基づいて、SHNはインテリジェントなサービス品質(QoS)、保護者による利用制限(ペアレンタルコントロール)、ネットワークセキュリティなどを提供します。
統合型サーバセキュリティソリューション「Trend Micro Deep Security™」は、仮想パッチ機能によって脆弱性を狙う攻撃からサーバを防御します。家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックします。トレンドマイクロ製品に組み込まれたクロスジェネレーション(XGen)セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くなどの今日の目的に特化した脅威からユーザを保護します。
トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、ネットワーク内に侵入した標的型攻撃などの脅威による活動の兆候を可視化することができます。今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処できます。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体に対する相関分析を可能にします。
参考記事:
- 「INTERPOL Collaboration Reduces Cryptojacking by 78%」
by Trend Micro
翻訳: 与那城 務(Core Technology Marketing, Trend Micro™ Research)