ランサムウェア市場過密、攻撃は「仮想通貨マイニング」へ移行

[井上輝一，ITmedia]

　「ランサムウェアの市場は過密状態にあり、サイバー犯罪者は新たな武器として仮想通貨をマイニングするマルウェアを急速に使い始めている」――シマンテックは3月29日、サイバー犯罪にこんな傾向の変化が見られるという調査結果を発表した。

　同社によれば、ランサムウェアの2017年の1日当たりの検出数は1242件と前年比2％減で安定したが、ランサムウェアが感染者に要求してくる“身代金”の平均額が1070ドルから522ドルに低下したという。同社マネージドセキュリティサービス日本統括の滝口博昭さんは、「高い身代金を要求しても実際に支払われることは少ない」と指摘する。

　一方、17年には仮想通貨が高騰したことなどから、ブラウザ内で仮想通貨を採掘する「クリプトジャッキング」攻撃の検出件数が前年比8500％と爆発的に増加。ランサムウェア「VenusLocker」を用いていた犯罪者グループが仮想通貨「Monero」をマイニングするマルウェア攻撃に移行する例もあり、実入りの少ないランサムウェアから、感染者の計算資源を利用して利益を得る仮想通貨マイニングを用いた攻撃などに手法を移す傾向が見られるという。

ランサムウェアの身代金は減少傾向、仮想通貨マイニングマルウェアが爆発的に増加

　閲覧者のデバイスでブラウザからマイニングスクリプトが動作するパターンはいくつかある。（1）Webサイト管理者が閲覧者に明示せずにサイト内にスクリプトを埋め込むパターン（管理者＝攻撃者）、（2）Webサイト管理者が閲覧者に明示してサイト内にスクリプトを埋め込むパターン（悪意ある攻撃ではないパターン）、（3）攻撃者がWebサイトを乗っ取り、Webサイト管理者の許可なくスクリプトを埋め込むパターン（管理者≠攻撃者）――などだ。

　この内、閲覧者や管理者の許可を得ない（1）と（3）が攻撃者によるクリプトジャッキングに当たる。

（2018年3月30日午後7時30分追記：クリプトジャッキングについての説明を加筆しました）

　クリプトジャッキングは、17年9月からマイニングサービス「Coinhive」（コインハイブ）により急増。Webサイトにスクリプトを1行追加するだけでマイニングを走らせられる簡単さや、OSに依存せずIoT機器でも動作するクロスプラットフォーム性が攻撃者にとっての魅力だ。

　その反面、ユーザーがスクリプトを仕込まれたWebサイトをブラウザで開いている間だけしかマイニングを行えないことから、既存のウィンドウの裏にページを開く「ポップアンダーウィンドウ」を利用するなどして長時間のマイニングを試みているという。

クリプトジャッキングとは

　ブラウザでの仮想通貨マイニングは広告の差し替えとして悪意なく利用されることもあることから「（完全な黒ではなく）グレーだ」（滝口さん）とするが、仮想通貨マイニングは機器に高い負荷を掛けることからデバイスの速度低下や、IoT機器やモバイル機器の消耗・破損リスクもある。また、クリプトジャッキングの放置はセキュリティが甘いと見られ、さらに攻撃が仕掛けられる可能性もあると指摘する。

マイニングマルウェアによる3つの影響

　今後のクリプトジャッキングの方向性としてシマンテックは、従来型のボットネットによる分散採掘や、サーバやスパコンの計算資源を狙っての企業・組織への攻撃、従量課金制のクラウドサービスへ不正にログインされマイニングされることによる、本来のユーザーへの財務的インパクトの恐れなどを予測している。

クリプトジャッキングにまつわる予測