-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
クリプトジャッキングとは、他のコンピューターのリソースを無断で利用して仮想通貨(=暗号資産)を「採掘」することです。脅威アクター(=攻撃者)たちは、さまざまな手法を用いて機器の計算処理装置(CPU)やビデオグラフィックスカード(GPU)を操り、これらを密かに利用して複雑で非常に大きな負荷のかかるアルゴリズムを実行し、仮想通貨を生成します。
本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2022年9月21日付)を翻訳したものです。
要点
クリプトジャッキングの被害に遭わないために、組織がすべきことは以下の通りです。
①従業員に不審なメールやその他フィッシング行為を報告・回避させるための教育を行う
②組織の資産に影響を与える脆弱性を発見・修正する
③ソフトウェア部品表(=SBOM:エスボム)を作成し、自組織のソフトウェアを構成するサードパーティーのライブラリやOSSを可視化する
仮想通貨のマイニングとは?クリプトジャッキングの動機は?
仮想通貨には、通貨の流通量を決定する規制機関は存在しません。一方、仮想通貨の価値が安定するためには、売買されるのに十分な量の通貨が流通していることが必要です。そのため、ユーザー自身が仮想通貨を作成し、その存在をブロックチェーンによって確かめる必要があります。このプロセスは「クリプトマイニング(=採掘)」と呼ばれます。
多くの参入者が、利益を得たくてマイニングを行うものの、利益を得るためには膨大な量のデジタルリソースが必要です。ユーザーのハードウェアやソフトウェアによっては、ビットコインのような仮想通貨のトークンを1つ生成・確認するのに、10分〜30日かかることもあります。さらに、各仮想通貨のソースコードには自動システムが組み込まれており、このシステムは同時に競争するマイナー(=採掘者)の数に基づいて新しい通貨の発見を制限するため、利益は保証されていません。
そのため、ユーザーは多くの場合「プール」を作り、プール内でユーザーたちのマシン同士をリンクさせてデジタルリソースを共有することで、マイニングの難度を下げています。これにより、ユーザー全体の成功率が高まり、新たに生成された仮想通貨はプール内のユーザーたちに分散されます。
クリプトジャッキングは、この行為を悪意ある方法で再現したものです。ハッカーは、クリプトジャッキングを利用することで、乗っ取った機器のリソースを結集し、被害者のリソースの処理能力を吸い上げて仮想通貨を作成し、利益をひとり占めします。ただ、これを成功させるには、マシンが感染していることを被害者に気づかれてはいけません。これは、クリプトジャッキングに付随する最大のセキュリティ上の問題です。よって、その検知は非常に難しいものとなる場合があります。
クリプトジャッキングは他のマルウェアとは違う
クリプトジャッキングは、他のマルウェアとは異なり、被害者のマシンやデータに危害を加えることを目的としていません。ダウンロードなしで配信できる手法[*]は多く、ほとんどの脅威アクターはバックグラウンドで目立たないように実行されるスクリプトを好んで使用します。このため、被害者の大半は、プロセッサが乗っ取られたことに気づきません。被害者は多くの場合、動きが好調だったマシンが著しく遅くなったことに気づいたり、電気代が異常に高いことに気づいたりして、初めて被害を受けたことを知るのです。
[*訳註] Webサイトや広告に有害なスクリプトを埋め込み、サイトや広告を閲覧しただけでスクリプトが実行されるようにする手法がある。
しかし、クリプトジャッキングが脅威アクターから人気を集める最大の理由は、利益の安定性を高めながら、リスクを大幅に減らせることにあります。多くの脅威アクターが、クリプトジャッキングをランサムウェアよりも手頃で有益な選択肢だと考えています。クリプトジャッキングが絶えずお金を生み続けるのに対し、ランサムウェアは、被害者が支払った場合にのみ利益を産む、1回限りの活動です。また、ハッカーが感染したコンピューターの復旧と引き換えに金銭を支払わせる成功率は、わずか3%であると推定されています。さらに、他の攻撃に比べて発見されるリスクがかなり高くなります。クリプトジャッキングの場合、そのようなことは滅多にありません。
クリプトジャッキング攻撃の標的になりやすいのは?
最近の調査結果によると、仮想通貨の価値が急落しているにもかかわらず、2022年上半期のクリプトジャッキング攻撃の件数は6,670万件に上り、前年同期と比較して30%増加しています。標的という点では、企業ネットワークの規模と多様性から、企業が脅威アクターに非常に好まれています。特にサーバーは、個人のノートPCやデスクトップPCと比べ、処理能力が桁違いに高いため、狙われやすいです。
ハッカーたちは企業ネットワークへの侵入を足がかりに、システム内部で感染を広げ(=ラテラルムーブメント)、検知されることなく、感染させられるマシンをすベて感染させようとします。脅威アクターによって、足がかりを得る方法はさまざまです。ある者は、ソーシャル・エンジニアリングの(=人間の心理的弱みを悪用する)戦術を用いて、従業員に有害なリンクをクリックさせ、スクリプトを起動させようと試みるでしょう。また、ある者は、標的のネットワークをスキャンして、Log4Shellのような脆弱性の影響を受けている資産があるかどうかを確認し、その脆弱性を悪用するかもしれません。あるいは、組織の製品に紛れ込んだオープンソースソフトウェア(OSS)に有害なコードを挿入するソフトウェアサプライチェーン攻撃を行うかもしれません。
リスク軽減はFlashpointで
リスクを最小限に抑えるには、包括的なインテリジェンスが必要です。FlashpointのCCM(Compromised Credentials Monitoring:漏洩認証情報モニタリング)を利用することで、アカウントが脅威アクターに乗っ取られている可能性がある場合に迅速に対応し、アカウント乗っ取りのリスクを軽減することができます。脆弱性の管理担当者であれば、包括的脆弱性データベースのVulnDBを使用して、重要な資産に影響を及ぼす、あらゆる既知の脆弱性の本質をつかむことができます。無料トライアルにお申し込みいただき、良質なインテリジェンスが良質なリスク判断につながることを、ぜひ実感してください。
日本でのFlashpointに関するお問い合わせは、
弊社マキナレコードにて承っております。
また、マキナレコードではインテリジェンスツールの運用をお客様に代わって行う
「マネージドインテリジェンスサービス(MIS)」も提供しております。
詳しくは以下のフォームからお問い合わせください。
