最近よく聞く「コインマイナー」とは一体何か？

2017年ごろから、「コインマイナー」と呼ばれるプログラムの問題がたびたび取り沙汰されるようになりました。コインマイナーの「コイン」とは、ビットコインに代表される仮想通貨のことを指し、「マイナー」とは仮想通貨のマイニング（採掘）を行うプログラムのことを指します。ちなみに「マイニング」とは、仮想通貨の新たな取引が発生した際、その履歴をブロックチェーンの台帳に書き込むために行う計算処理のことを指します。

多くの仮想通貨は現実世界の貨幣とは異なり、その流通や取引を制御する中央の管理者が存在しません。その代わりに、世界中の有志がマイニングを行ってブロックチェーンを日々維持・更新することで成り立っています。こうしてマイニングの処理に協力した有志には、その報酬として仮想通貨が支払われる仕組みになっています。

現在、世界中のさまざまな個人や団体がこのマイニングで利益を得ようと競い合っており、大企業のデータセンター顔負けの強力なコンピューティングリソースを使ってマイニング競争に参戦している企業もあります。ただしその中には、自身が保有するコンピュータではなく、他人のコンピュータを無断で拝借し、勝手にマイニングに使ってしまおうと考える人たちも出てきました。そうした人々が使用するのが、コインマイナーです。

コインマイナーの多くはWeb広告と同じように、ユーザーが特定のWebサイトを閲覧すると、自動的にプログラムがPCにダウンロードされる仕掛けになっています。あるいはマルウェアと同じように、メールの添付ファイルとして送り付けられることもあります。そしていったんPCにコインマイナーのプログラムがダウンロードされると、そのPCのCPUを使ってマイニングの計算処理が自動的に行われます。

マルウェアやランサムウェアのように、情報を窃取したりデータを破壊するような直接的な危害は加えないため、感染してもユーザー側で気づきにくいのが特徴ですが、PCのCPUリソースを勝手に使われてしまうため、PCの動きが遅くなってしまったり、最悪の場合は動きが停止してしまうことも考えられます。コインマイナーに違法性が認められるかどうかについては、専門家の間でも意見が分かれるところですが、少なくともユーザーに無断でコンピューティングリソースを食いつぶしてしまう点は明らかに問題だといえるでしょう。

また場合によっては、マイニングで得られた利益が攻撃者の手に渡り、別のサイバー攻撃の原資になるかもしれません。そうなると、ユーザーは間接的にサイバー攻撃に加担していることにもなってしまいます。

感染力の強い攻撃に対処するために必要なこと

つい最近も、サイバーリーズンのSOC（セキュリティオペレーションセンター）において、コインマイナーの新たな感染手口が見付かりました。「LEMON DUCK」と名付けられたこの攻撃は、いわゆる「ファイルレス攻撃」と呼ばれる手口を使ってユーザーのPCに侵入し、コインマイナーのプログラムをダウンロードします。ファイルレス攻撃とは、マルウェアそのものの実行ファイルは存在せず、WindowsのPowerShellなどシステムに標準で備わっているツールを使って攻撃を行います。

ファイルが存在しないために、一般的なアンチウイルスソフトが行うシグネチャベースのパターンマッチングでは検知できず、またシステムの標準ツールのプロセスを利用するため、ホワイトリスト型のセキュリティツールも役に立たないのが特徴です。

LEMON DUCKも、PowerShellを使ってコインマイナーのプログラムをダウンロードし、メモリ上で実行することでマイニング処理を行っていました。しかもこの攻撃の巧妙な点は、さまざまな種類のPowerShellスクリプトを駆使することで周囲のPCの脆弱性を素早く見付け、あっという間に周囲に感染を広げていくところにあります。現時点では、この手法を使った感染はコインマイナーだけのようですが、代わりにランサムウェアを感染させることも十分可能です。そのため、もし万が一このような攻撃に遭った際には、いち早くほかの端末への感染経路を絶つ必要があります。

ちなみにLEMON DUCKでは、ほかの端末への感染経路として、WindowsのSMB脆弱性（CVE-2017-0143) やRDPの悪用、またMicrosoft SQL Serverに対してよく使われるパスワードやパスワードハッシュを用いた総当りなどが用いられることが確認されています。そのため具体的な対策としては、まずはSMBv1を無効化したり、RDPを使用しなければならない場合は強度の高いパスワードを使用するとともに、アクセスできる端末の制限（IPアドレスでの制限等）を行うべきでしょう。

もちろん、初期感染を防ぐために「不審なメールは開かない」「不審なサイトを訪れない」「システムのパスワードの強度を高めた上で定期的に変更する」といった対策は不可欠です。ただし近年のサイバー攻撃の手口は極めて高度化・巧妙化しており、感染を100％防ぐのはもはや不可能です。そのため、不幸にも感染してしまった場合に備えて、侵入したマルウェアをいち早く検知して、被害が拡大する前にその元を絶つための対策が必要です。

弊社が提供するEDR製品「Cybereason EDR」は、まさにそうした対策に打ってつけの製品です。PCやサーバーなどのエンドポイント端末上を常時監視し、もし不審な動きを検知した場合は即座に管理者に通知してくれます。LEMON DUCKのように極めて感染力の強い攻撃に備えるには、ぜひこうした対策を講じておくことをお勧めします。

「次世代エンドポイント（EDR）のメリット」とは？ Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033