ランサムウェア市場過密、攻撃は「仮想通貨マイニング」へ移行
ランサムウェアの市場は過密状態にあり、サイバー犯罪者は新たな武器として仮想通貨をマイニングするマルウェアを急速に使い始めている」――シマンテックは3月29日、サイバー犯罪にこんな傾向の変化が見られるという調査結果を発表した。
「ランサムウェアの市場は過密状態にあり、サイバー犯罪者は新たな武器として仮想通貨をマイニングするマルウェアを急速に使い始めている」――シマンテックは3月29日、サイバー犯罪にこんな傾向の変化が見られるという調査結果を発表した。
同社によれば、ランサムウェアの2017年の1日当たりの検出数は1242件と前年比2%減で安定したが、ランサムウェアが感染者に要求してくる“身代金”の平均額が1070ドルから522ドルに低下したという。同社マネージドセキュリティサービス日本統括の滝口博昭さんは、「高い身代金を要求しても実際に支払われることは少ない」と指摘する。
一方、17年には仮想通貨が高騰したことなどから、ブラウザ内で仮想通貨を採掘する「クリプトジャッキング」攻撃の検出件数が前年比8500%と爆発的に増加。ランサムウェア「VenusLocker」を用いていた犯罪者グループが仮想通貨「Monero」をマイニングするマルウェア攻撃に移行する例もあり、実入りの少ないランサムウェアから、感染者の計算資源を利用して利益を得る仮想通貨マイニングを用いた攻撃などに手法を移す傾向が見られるという。
閲覧者のデバイスでブラウザからマイニングスクリプトが動作するパターンはいくつかある。(1)Webサイト管理者が閲覧者に明示せずにサイト内にスクリプトを埋め込むパターン(管理者=攻撃者)、(2)Webサイト管理者が閲覧者に明示してサイト内にスクリプトを埋め込むパターン(悪意ある攻撃ではないパターン)、(3)攻撃者がWebサイトを乗っ取り、Webサイト管理者の許可なくスクリプトを埋め込むパターン(管理者≠攻撃者)――などだ。
この内、閲覧者や管理者の許可を得ない(1)と(3)が攻撃者によるクリプトジャッキングに当たる。
(2018年3月30日午後7時30分追記:クリプトジャッキングについての説明を加筆しました)
クリプトジャッキングは、17年9月からマイニングサービス「Coinhive」(コインハイブ)により急増。Webサイトにスクリプトを1行追加するだけでマイニングを走らせられる簡単さや、OSに依存せずIoT機器でも動作するクロスプラットフォーム性が攻撃者にとっての魅力だ。
その反面、ユーザーがスクリプトを仕込まれたWebサイトをブラウザで開いている間だけしかマイニングを行えないことから、既存のウィンドウの裏にページを開く「ポップアンダーウィンドウ」を利用するなどして長時間のマイニングを試みているという。
ブラウザでの仮想通貨マイニングは広告の差し替えとして悪意なく利用されることもあることから「(完全な黒ではなく)グレーだ」(滝口さん)とするが、仮想通貨マイニングは機器に高い負荷を掛けることからデバイスの速度低下や、IoT機器やモバイル機器の消耗・破損リスクもある。また、クリプトジャッキングの放置はセキュリティが甘いと見られ、さらに攻撃が仕掛けられる可能性もあると指摘する。
今後のクリプトジャッキングの方向性としてシマンテックは、従来型のボットネットによる分散採掘や、サーバやスパコンの計算資源を狙っての企業・組織への攻撃、従量課金制のクラウドサービスへ不正にログインされマイニングされることによる、本来のユーザーへの財務的インパクトの恐れなどを予測している。
関連記事
- 話題の「Coinhive」とは? 仮想通貨の新たな可能性か、迷惑なマルウェアか
「Coinhive」というサービスが注目を集めている。「仮想通貨の新たな可能性を示している」などと期待する声から、「ただのマルウェアだ」と批判する声もあり、賛否両論が渦巻いている。一体どんなサービスなのか。 - 世界で猛威 ランサムウェア「WannaCry」とは? シマンテックが解説
「WannaCry」と呼ばれるランサムウェアが世界で猛威。ファイルを暗号化し、ビットコインで“身代金”を要求する。特徴や対策を、シマンテックがブログで解説している。 - コインチェック仮想通貨流出、原因は標的型攻撃か 補償・サービス再開は「来週中」
仮想通貨取引所「Coincheck」を運営するコインチェックは3月8日、約580億円分(当時レート)の仮想通貨「NEM」を流出した事件について会見し、被害に遭ったユーザーへの補償予定などを説明した。調査の結果、流出原因は従業員PCへのメール経由でのマルウェア感染とみられるという。 - 出荷時点で「トロイの木馬」に感染 40モデル以上のAndroidデバイスで確認
メーカー出荷時点でトロイの木馬に感染しているAndroidデバイスを、40モデル以上確認したと、ロシアのセキュリティ企業Doctor Webが発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.