クリプトマルウェア

クリプトマルウェアの定義

クリプトマルウェアとは、他人の機器やサーバを使って暗号通貨の採掘を行う行為を指します。2017年以降、この手法は身代金要求型ウイルスの中でも人気を集めています。なぜでしょうか？

暗号採掘は多大な計算資源を必要とし、電気代が上がり、コンピュータの全計算能力を消費するため、他の作業と同時に行うことが困難です。この点が、クリプトマルウェアの急増につながっています。 

‍

クリプトマルウェアの動作

他のソフトの拡散と同様の方法が、クリプトマルウェアにも使われます。例えば、無害に見えるメールファイルを選んだ場合、マルウェアが機器に侵入する可能性があります。クリプトマルウェアは信頼できるソフトを装い、実行されるとプログラムやアプリに悪質なコードを挿入します。

心配な点として、感染による被害や症状に気づくまで、改ざんされたサイトやソフトから知らずに侵入される場合があることが挙げられます。 

対象が感染したアプリやサイトにアクセスすると、JavaScriptが即時に起動し、攻撃者がクリプトジャッキングを行う仕組みになっています。悪質なコードは機器ではなくブラウザ上に保持されるため、特定が難しいのです。

これらの攻撃はどのような影響を及ぼすか

クリプトマルウェアは直接情報を盗むわけではないため、高額な身代金要求型ウイルスやシステム全体を麻痺させるウイルス、大規模なデータ侵害やトロイの木馬と比べ、重大なサイバーリスクと捉えにくい面があります。 

被害機器の計算能力を利用して継続的にビットコインの採掘が行われるため、システムの処理速度が大幅に低下し、複数の作業を同時に行うことが難しくなります。 

クリプトマルウェアの例

暗号通貨の採掘を行うマルウェアは、オンラインの不正利用者が管理下のシステムから直接利益を得る手段として多く見られるようになりました。以下は、Check Pointの2022年サイバー攻撃動向中間報告で紹介された代表的なクリプトランサムウェアの例です：

• WannaMine

WannaMineはビットコインの採掘を行います。EternalBlue経由で拡散し、Windows Management Instrumentation (WMI) の永続的なイベント購読を利用することで機器内に長く留まります。

• PowerGhost

ファイルレス型のクリプトマルウェアであるPowerGhostは、企業のパソコンや端末を狙い、サーバや機器に気付かれずに感染・拡散します。発見を避け、感染機器から最大限の暗号通貨を得るため、アンチウイルスソフトや競合する採掘プロセスを無効化する機能を備えています。

• Graboid

Graboidは、セキュリティ対策が不十分なコンテナを通じて拡散する、初のワーム型クリプトマルウェアです。2019年10月までに2,000以上のDocker環境に侵入しました。

• MinerGate

被害者の機器が使用されると動作を停止する回避策で知られており、マウスの動きを検知して採掘を中断することで、発見を回避しています。

• XMRig

オープンソースのクリプトジャッキング型マルウェアであるXMRigは、他のマルウェアに組み込まれることが多く、MoneroやBitcoinなどの暗号通貨の採掘に使用されます。

• Prometei Botnet

ボットネットとは、マルウェアに感染した機器が、被害者に気付かれずに統制される集団です。Prometei BotnetはMoneroを生成するため、できるだけ多くの機器への侵入を試みます。既知の脆弱性を利用し、不特定のユーザを対象にネットワーク内で拡散する動的なマルウェアで、主に欧米で確認されています。

• Darkgate

主にWindowsを攻撃するDarkgateは、2017年12月に初めて確認されました。身代金要求、暗号採掘、個人情報窃盗、そしてリモートアクセス型トロイの木馬 (RAT)の機能が一体となった悪質なプログラムです。

‍

クリプトマルウェア攻撃と身代金要求型攻撃の違い

身代金要求型ウイルスとクリプトマルウェアはいずれも犯行者の利益を目的としていますが、その手法には大きな違いがあります。

身代金が支払われるまでは、身代金要求型攻撃は被害者のデータを暗号化します。支払いがなされなければ、犯行者はそのデータを闇市場で販売し二次的な利益を得る場合もあります。一方、クリプトマルウェアはシステムの背景で密かに動作します。

‍

クリプトジャッキングとクリプトマルウェアの違い

クリプトジャッキングは、他人の機器を利用して秘密裏に暗号通貨を採掘する行為です。フィッシング手法に似た方法で、悪意ある暗号採掘コードを知らずにダウンロードさせられる場合もあります。 

利用者には正規に見えるメールが届き、リンクをクリックさせる仕掛けがあります。そのURLがプログラムを起動し、機器に暗号採掘スクリプトをセットします。被害機器が使用されるたびに、ソフトはバックグラウンドで動作します。

また、ハッカーが脆弱なサイトや複数のサイトに表示される広告に悪意あるスクリプトを埋め込むケースもあります。利用者が感染サイトにアクセスしたり広告を目にした時、スクリプトが即時に動作を開始し、機器に残らないため特定が難しくなります。

‍

暗号採掘マルウェアの検出方法

ブロックヘッダー候補を試すため、暗号採掘マルウェアは大量の計算資源を使用します。そのため、以下のいずれかの警告サインが感染した機器に現れる可能性があります。

• リソース使用量の増加。
• 機器やネットワークの動作低下。

クリプトマルウェアから守る方法

1. ネットワークの監視

ネットワークを監視することで、機器の状態を把握できます。これがクリプトマルウェア対策の基本です。ルーターや接続機器のログを確認し、異常なデータや動作がないか調べます。

2. 機器の定期更新

ソフトウェア更新を怠ると、脆弱なシステムとなりハッカーに狙われやすくなります。定期的な更新は最低限の防御策となります。

3. 不明なメール添付やURLは開かない

発信元やリンク先が不明な場合、メールの添付ファイルやURLを開かないことが必要です。

‍

結論

企業が直面する多くのソフトリスクの一つに暗号通貨の採掘があります。暗号通貨の採掘自体は合法ですが、他人の機器やサイトで行うのは悪質な行為です。クリプトマルウェアの配布や利用は違法なサイバー犯罪とみなされ、法により罰せられます。