クリプトジャッキングの定義
クリプトジャッキングとは、個人または組織のコンピューティングリソースを不正に使用して暗号通貨をマイニングすることです。
クリプトジャッキングプログラムは、フィッシング 、感染したWebサイト、またはマルウェア攻撃に見られるその他の方法を介して被害者のコンピューターにインストールされる マルウェアである場合や、被害者が特定のWebサイトにアクセスしている間のみ動作するデジタル広告やWebページに挿入された小さなコードである場合もあります。
Expert Tip
クリプトジャッカーは何を得ますか?
暗号通貨マイニングには、かなり多くの計算能力と、そのすべてを実行するための電力が必要です。独自の機器を使用している合法的な暗号通貨マイナーはたくさんいますが、彼らは少なからぬコストをかけています。サイバー犯罪者は、他人のシステムで悪意のあるクリプトマイニングを密かに実行して、マイニングプロセスに関連する費用を負担せずに報酬を得ることができます。
暗号通貨とは?
暗号通貨は、物理的なプロパティを持たない、オンラインでのみ存在する通貨の一形態です。匿名性とセキュリティにより、近年人気を博しています。ビットコインは2009年に作られた最初の暗号通貨であり、ブロックチェーンテクノロジーが初めて使われました。
暗号通貨マイニングはどのように機能しますか?
従来の現金を使わない金融取引では、マーチャントは取引をマーチャントバンクに送り、マーチャントバンクがそれを支払い処理業者に送り、支払い処理業者が発行銀行に送ります。その過程で、数多くの関係者が取引を記録と照合して、口座に十分なお金があるか、カード所有者のクレジット限度内の取引であるか、取引手数料があるかなどの基準を満たしていることを確認し、取引が承認または拒否されます。
しかし、ブロックチェーンには中央の台帳は存在せず、ピアツーピアネットワーク上に存在する分散型台帳であり、そのため取引の承認や拒否をする中央集権的な機関がありません。代わりに、すべての取引が暗号化され、ブロックチェーンに添付されるのを待つ取引リストに追加されます。これらのリストの各セットが、既存のブロック、つまりまだ「チェーンでつながれて」いない「ブロック」です。ブロックチェーンにブロックを追加することを「マイニング」と呼びます。
新しいブロックを検証する必要があり、ここでクリプトマイニングの出番となります。つまり、人々がシステムでゲームをしたり、ハッカーがサービス拒否攻撃を行ったりするのを防ぐためには、ブロックチェーンにブロックを追加することを少し困難にするハードルが必要です。このハードルは、ブロックを検証してブロックチェーンに追加する前に解決しなければならない、一種の数学パズルの形をとります。そのパズルの1つを解いた最初の暗号通貨マイナーは、暗号通貨を報酬として受け取ります。
クリプトジャッキングはどのように機能しますか?
一部の種類の暗号通貨は他の種類の暗号通貨よりもマイニングが簡単で、ハッカーのお気に入りです。例えば、Moneroはあらゆるデスクトップやラップトップ、またはサーバーでマイニングできますが、ビットコインのマイニングには高価な専用ハードウェアが必要です。マイニングの処理は、モバイルデバイス、IoTデバイス、およびルーターでも実行することができます。
クリプトマイナーは、クリプトジャッキングマルウェアをランサムウェアなど他の種類のマルウェアと組み合わせることがあります。ユーザーが不正なリンクをクリックしたり、感染した添付ファイルを開いたりすると、クリプトジャッキングプログラムとランサムウェアプログラムという2種類のプログラムがダウンロードされます。攻撃者は、ソフトウェア構成、ハードウェア構成、およびマルウェア対策防御に基づいて標的のシステムを評価し、クリプトジャッキング攻撃とランサムウェア攻撃のどちらが利益が多いかを判断します。
また、クリプトジャッカーはプログラムをまったくインストールしないこともあります。小さなクリプトマイニングコードが、Webサイト、WordPressプラグイン、または広告に埋め込まれていて、訪問者のブラウザで自動的に実行される場合があります。
別のタイプのクリプトジャッキング攻撃はクラウドで行われ、攻撃者は最初に認証情報を盗み、次にスクリプトをクラウド環境にインストールします。
クリプトジャッキングの例
Coinhive
Coinhiveはもう稼働していませんが、クリプトジャッキングの脅威の高まりで不可欠な役割を果たしたものであり、検討する価値があります。CoinhiveはWebブラウザから提供され、ユーザーのページにJavascriptファイルをロードします。Coinhiveは、Moneroフォーク後に発生したハッシュレートの低下や、クリプトジャッキングの利益を下げた暗号通貨市場の下落により、運営者が閉鎖するまでは人気のあるクリプトジャッキングスクリプトでした。
WannaMine v4.0
WannaMine v4.0以前は、ホストを侵害するのに、EternalBlueエクスプロイトを使用していました。これは、EternalBlueエクスプロイトバイナリを、「Network Distribution」という名前のC:\Windowsディレクトリに保存します。このWannaMineの亜種はランダムに.dllとハードコーディングされた文字列のリストに基づくサービス名を生成します。このようにして、ホスト上で持続性を維持します。
BadShell
BadShellは、ダウンロードを伴わないファイルレスマルウェアです。PowerShell、タスクスケジューラ、レジストリなどのネイティブWindowsプロセスを使用しているため、検出が特に困難です。
Learn More
クリプトジャッカーは、ファイルレスマルウェア攻撃を開始するためにコードをインストールする必要がありません。ただし、目的に合わせてネイティブツールを変更できるようにするため、環境へのアクセスは必要です。ファイルレスマルウェア攻撃がどのように機能するかを確認
Facexworm
FaceXWormはソーシャルエンジニアリングを使用して、Facebookメッセンジャーユーザーに偽のYouTubeリンクをクリックするように誘惑します。偽のサイトは、コンテンツを表示するためにChrome拡張機能をダウンロードするようユーザーに求めますが、拡張機能が実際に行うのは、被害者のFacebookアカウントを乗っ取って、友人ネットワーク全体にリンクを広めることです。FaceXWormは、ユーザーのシステムを乗っ取って暗号通貨をマイニングするだけではありません。ユーザーがGoogleやMyMoneroなどの特定のサイトにログインしようとすると認証情報を傍受し、正当な暗号通貨交換プラットフォームにアクセスしようとするユーザーを、本人確認プロセスの一環として少量の暗号通貨を要求する偽のプラットフォームにリダイレクトし、また、ユーザーを他の悪意のあるサイトにリダイレクトします。
Black-T
Black-T は、公開されているDockerデーモンAPI を使用して、AWSの顧客をターゲットにします。このマルウェアは、スキャンツールを使用して他の公開されているDockerデーモンAPIを特定し、クリプトジャッキング処理をさらに拡大することもできます。
クリプトジャッキングの結果
自宅のラップトップを個人的に使用している人にとってクリプトジャッキング攻撃の結果として、コンピューターの速度が低下し、電気代が高くなりますが、企業を標的とする大規模なクリプトマイニングは重大な害を及ぼす可能性があります。パフォーマンスの低下はビジネスの生産性を損ない、システムクラッシュやダウンタイムは売上と評判を落とし、高価な高性能サーバーは高価なだけの低パフォーマンスサーバーになります。そしてもちろん、企業リソースがクリプトマイナーのニーズを満たすために、本来の用途に使われなくなるため、運用コストが急劇に上昇します。
さらに、ネットワーク上に暗号マイニングソフトウェアがあることは、より深刻なサイバーセキュリティの問題が存在していることを示しています。つまり、ハッカーがクリプトジャッキングソフトウェアを企業の防御を通過させることができれば、他の悪意のあるコードも侵入してくる可能性があります。
クリプトジャッキングに対する防御
課題
リソースと可視性が限られているセキュリティチームは、次のことを行う必要があるため、クリプトジャッキングに対処するのに苦労することになります。
- イベントを特定し、攻撃ベクトルを解明します。正当なツールとファイルレス攻撃の使用が増えると、これは困難になります。
- アクティブな侵害を阻止し、システムを迅速に修復します。インシデントが発生した場合、セキュリティチームはインシデントを止め、可能な限り速やかにシステムを修復する必要があります。これには多くの場合、マシンの手動調査と再イメージングといった、リソースを浪費するタスクが含まれます。
- 攻撃から学び、セキュリティギャップを埋めます。インシデント後、セキュリティチームは何が起こったのか、なぜ起こったのかを把握し、二度と起こらないよう対策を講じる必要があります。
クラウドセキュリティの専門家からのポイント
クリプトジャッキングは、組織の生産性とセキュリティに対する脅威です。このリスクに対処するために、組織は次のことを行う必要があります。
- 強力なセキュリティハイジーンを実践します。ITハイジーンはセキュリティの基盤です。脆弱なアプリケーションやオペレーティングシステムに定期的にパッチを適用し、特権ユーザーアカウントを保護することは、最適なセキュリティポスチャのために不可欠なプラクティスです。
- 従業員を教育します。すべての従業員に、機密データを安全に保つことの重要性、クリプトジャッキングを防ぐためのベストプラクティス、およびサイバー攻撃が発生する可能性のあるさまざまな方法に関し完全に理解するための包括的トレーニングを完了させます。
- 真の次世代エンドポイント保護プラットフォーム(EPP)をデプロイします。組織は、既知および未知のマルウェアを含むすべての脅威を防止および検出し、メモリ内攻撃を特定する準備をする必要があります。これには、攻撃を防ぎ、環境全体を完全に可視化するために、次世代のAV保護とエンドポイントでの検知と対応(EDR)を含むソリューションが必要です。
Gartnerによると、エンドポイントに対する脅威から効果的に防御するには、NGAVおよびEDR機能を備えたソリューションを導入する必要があります。CrowdStrike Falcon®プラットフォームは 、マルウェアが自身をディスクに書き込むか、メモリ内でのみ実行されるかに関係なく、攻撃のステルス行動インジケーター(IOA)を検出するように設計された真の次世代EPPソリューションです。
