近年、クリプトジャッキングは最も深刻なサイバーセキュリティ脅威の一つとなっています。クリプトジャッキングとは、許可なく暗号通貨をマイニングするためにコンピューティングリソースを盗むサイバー攻撃です。規制されていないマイニングは金融セクターにとって莫大な財政的負担となり、巨額の損失が報告されています。また、ハードウェアの損傷やエネルギー消費量の増加が確認されるにつれ、組織はより重い運用コストの領域に突入します。
このブログでは、クリプトジャッキングとは何か、その攻撃手法、検知メカニズム、防御戦略について解説します。また、攻撃者が攻撃ベクトル(最も一般的な侵害の兆候を含む)を用いてマイニングマルウェアを拡散させる手法についても考察し、こうした脅威から身を守る最善の方法を概説します。
クリプトジャッキングとは?
クリプトジャッキングとは、コンピューティングデバイスが乗っ取られ、暗号通貨のマイニングに利用されることです。このプロセスでは、攻撃者がマルウェアを挿入し、標的となったデバイスに仮想通貨マイニングに必要な複雑な数学的計算を解かせます。マイニングとは、仮想通貨取引が検証され、ブロックチェーン上に記録されるプロセスを指します。
マイニングには膨大な計算能力が必要です。クリプトジャッカーはシステムを乗っ取り、そのCPUやGPUをマイニングに利用します。彼らは通常、通常のコンピュータハードウェアを使用しても収益性のあるリターンが得られる暗号通貨(例:Monero。そのマイニングアルゴリズムはCPUに優しい)に焦点を当てます。
なぜクリプトジャッキングは危険なのか?
クリプトジャッキングは組織にとって深刻な脅威となり得ます。大規模に長期間検知されずに実行され、甚大な損害をもたらす可能性があるためです。マイニングにCPUリソースを消費するため、システムのパフォーマンスに直接影響します。特に24時間稼働で容量限界に近いシステムでは、ハードウェアの劣化を招きます。
この脅威は単一デバイスへの影響に留まりません。クリプトジャッキングマルウェアは通常、ワームのような特性を持っており、ネットワーク全体に拡散します。マルウェアはネットワーク内の他の脆弱なシステムを探し出し、マイニングノードのネットワークを構築します。このような動作は攻撃対象領域を拡大し、除去プロセスを複雑化させます。
クリプトジャッキングの影響
クリプトジャッキングは非線形の財務的影響をもたらします。複数のシステムが最大容量で稼働すると、組織の電力コストが急増します。継続的な摩耗はハードウェアの交換コストにつながります。これによりパフォーマンスが低下するだけでなく、サービス展開に大幅な時間損失が生じ、停止の可能性も高まります。ビジネスへの影響には以下も含まれる:
- 規制コンプライアンス違反(不正なコード実行による)
- 不正なマイニング活動による法的責任リスク
また、環境への影響も顕著です。攻撃者がデータセンターやクラウドインフラを標的とする場合、クリプトジャッキング活動は大規模化し、エネルギー消費量と炭素排出量を大幅に増加させます。
クリプトジャッキングの一般的な兆候
システム管理者は、いくつかの典型的な兆候からクリプトジャッキングを発見できます。ユーザーアプリケーションが実行されていないアイドル状態でも、CPU使用率が高い状態が続く。タスクマネージャーやシステム監視ツールで、大量のリソースを使用している不明なプロセスが確認できる。
この種のパターンは通常、ネットワーク監視によって明らかになる。感染したシステムは、マイニングプールや コマンド&コントロールサーバー (C2) への継続的なアウトバウンド接続を持っています。これらのリンクは通常、セキュリティチームが特定する必要のあるマイニングプロトコルに関連する標的型手法を使用しています。
影響を受けたハードウェアには物理的な症状が現れます。システムは高温になり、冷却ファンはフルスピードで動作します。バッテリー駆動の場合、バッテリー寿命が大幅に短縮されます。極端なケースでは、システムがクラッシュしたり、サーマルプロテクションで停止したりします。
ブラウザ経由のクリプトジャッキングには特定の兆候があります。タブを数個開いているだけで、WebブラウザがCPUリソースを最大消費します。該当するブラウザタブを閉じるまで、パフォーマンスの低下は続きます。
クリプトジャッキング攻撃の種類
クリプトジャッキングは近年注目を集めていますが、この攻撃手法は単一ではなく、システムに侵入し仮想通貨を採掘するために様々な手法を用います。これらの攻撃は、展開方法、持続方法、影響のレベルにおいて差異があります。
1. ブラウザベースのクリプトジャッキング
ブラウザベースのクリプトジャッキングとは、ウェブブラウザ内にマイニングコードが実装されていることを意味します。これは、ハッカーウェブサイトを乗っ取った結果である可能性があります。JavaScriptマイナーは、ユーザーが感染したサイトを訪問すると自動的に起動し、システムにファイルをダウンロードしないため、ユーザーは警告を受けません。
2. バイナリベースのクリプトジャッキング
バイナリ攻撃駆動型攻撃では、攻撃者は悪意のある実行可能ファイルをターゲットシステムに配信します。これらのマイナーは独立したプロセスとして動作し、(通常)正当なシステムサービスに偽装されます。システム再起動後も存続し、ハードウェアに直接アクセスできるため、ブラウザベースのものより効率的な場合が多いです。
3. サプライチェーン型クリプトジャッキング
サプライチェーン クリプトジャッキングは、正規のソフトウェア配布チャネルを乗っ取り、代わりにマイニングマルウェアを配信します。攻撃者はソフトウェアパッケージ、更新プログラム、依存関係にマイニングコードを追加します。マイニングコンポーネントは、ユーザーが影響を受けるソフトウェアをインストールまたは更新するたびに、デジタル署名と共に自動的に展開されます。
4. ファイルレス型クリプトジャッキング
ファイルレス型クリプトジャッキングは、ディスクへの書き込みではなく、システムメモリ内のプロセス全体を利用します。これらの攻撃では、PowerShellスクリプトやその他のネイティブWindowsツールが使用され、マイニングコードのダウンロードと実行が行われます。ディスク上の痕跡がないため、検出がより困難になります。
5. クラウドインフラストラクチャのクリプトジャッキング
攻撃は、設定ミスのあるクラウドリソースやコンテナを標的としたクラウドインフラストラクチャに対して行われます。クラウドインスタンスでは、公開された管理インターフェースによる攻撃面、または不適切に設定された脆弱な認証情報を通じて、マイナーの展開が行われます。このような攻撃は、侵害された正当なアカウント認証情報を使用して追加のクラウドリソースをプロビジョニングすることで、規模が急速に拡大する可能性があります。
クリプトジャッキング攻撃はどのように機能するのか?
クリプトジャッキングでは、攻撃者はマイニングコードを展開し、永続性を維持するためのアクションを実行するために、様々な技術的ステップを使用します。各手法には異なる攻撃ベクトルと悪用方法がありますが、本質的にはすべて、マイニングのパフォーマンスを最大化することで検出を回避するという、同じようなアプローチを取っています。
ブラウザベースのインジェクション手法
ブラウザベースのクリプトジャッキングの最初のステップは、正当なウェブサイトを侵害することです。ドメインクローラー攻撃では、ハッカーは脆弱なプラグイン、古いコンテンツ管理システム、または侵害されたサードパーティライブラリを介して、マイニング用JavaScriptコードをウェブページに埋め込みます。このコードが訪問者のブラウザ内で実行されると、WebSocket接続でマイニングプールに接続し、マイニングを開始します。これらのスクリプトは、検出を回避するためにスロットリング層で構築され、コードの重複を避けるためにドメイン検証を採用していることがよくあります。
バイナリベース攻撃
バイナリ攻撃は、フィッシング、エクスプロイト、悪意のあるダウンロードによってシステムへの初期侵入が行われます。マイニング実行ファイルとサポートファイルが複数のシステムフォルダに配置されます。これらはマイニングプールの設定、ウォレットアドレス、CPU使用率に関する情報を含みます。レジストリキーの追加、タスクのスケジュール設定、サービスのインストールによって永続化が達成されます。
サプライチェーン侵害手法
この種の攻撃は、ソフトウェアビルドシステム、更新サーバー、またはパッケージリポジトリを標的とします。攻撃者はマイニングコンポーネントをソースコードやビルドスクリプトに組み込みます。これらのパッケージは感染前の本来の目的を維持しつつ、バックグラウンドでマイニングを実行します。攻撃者は、検出やセキュリティ制御を回避するため、信頼できるベンダーから正当に取得したコード署名証明書を繰り返し使用しています。マイニングコードは通常のインストール手順後に実行されます。
ファイルレスマルウェアの手法
ファイルレス型クリプトジャッキングは、PowerShellやWindows Management Instrumentation(WMI)などのシステムツールを使用して、メモリ内で直接マイニングコードを実行します。このような侵害は通常、悪意のあるスクリプトやマクロを介して発生し、これらのスクリプトはコマンドサーバーから暗号化されたマイニング設定をダウンロードし、メモリ内で復号化します。攻撃は、WMIイベントサブスクリプションやレジストリのランキーを使用して永続性を確立し、デバイス再起動後にマイニングコードを再ロードします。
一般的なクリプトジャッキング検出技術
クリプトジャッキング攻撃を検知するには、様々なシステムコンポーネントの監視と多様な技術的指標の分析が必要です。組織が自社のインフラにおけるマイニング活動を確実に特定するには、多層的なアプローチが求められます。
1. システムパフォーマンス指標
クリプトジャッキングの存在を調査するには、まずCPUとGPUの使用率を監視することから始まります。プロセッサの活動レベルを監視するツールなどを使い、通常の活動範囲を超えた持続的な高使用率が検出された場合にアラートを発動するのが一般的です。温度センサーは異常な温度挙動に関する情報を提供します。アプリケーション監視では、不適切な場所から実行されているリソースを大量に消費するアプリケーションを検出できます。
2. ネットワークトラフィック分析
第二の検知手法であるネットワークベース検知は、マイニングプール経由の通信に重点を置きます。既知のマイニングプールドメインや海外IPアドレスへの接続は、ディープパケットインスペクションによって明らかにされます。トラフィック分析ツールがマイニングプロトコルに一致する一貫したデータパターンを検知した場合、異常な活動が進行中であることを示します。SSL/TLS暗号化接続を介したマイニングサービスへの接続も検出可能です。
3. メモリフォレンジック手法
メモリ分析ツールはメモリのスナップショットを取得し、コード内の動作をシグネチャと照合して分析します。マイナープロセスの注入手法を検出するために使用されます。メモリスキャナーは、プロセスメモリ内の仮想通貨ウォレットアドレスやマイニングプールURLを特定します。実行時を分析することで、既知のマイニングアルゴリズムと一致し始める特定のコードパターンを発見できます。
4. PowerShell活動監視
PowerShell監視とは、ファイルレスマイニング検出の監視を意味します。セキュリティツールはPowerShellコマンドの実行をログ記録し分析します。スクリプトブロックログには暗号通貨マイニングコマンドと設定が記録されます。モジュールログはマイニングにおけるPowerShellモジュールの使用状況を記録します。セッション記録はPowerShellセッションのフォレンジック分析のために完全なセッション詳細をキャプチャします。
5. ブラウザ行動分析
ブラウザ監視ツールは、ブラウザがJavaScriptを使用してマイニングを行っているかどうかを自動的に監視します。拡張機能アナライザーはブラウザ拡張機能内のマイニングコードを検出します。コインをマイニングするための JavaScript の実行を監視するために、モニターが Web ページに配置されます。マイニングサービスへの WebSocket 接続は、ネットワークリクエストアナライザーによって検出されます。
クリプトジャッキング対策のベストプラクティス
クリプトジャッキングシステムを防ぐには、セキュリティ制御とさまざまな運用手順を組み合わせて実施する必要があります。これらの対策により防御層を構築し、初期侵害やマイニング試行を防止できます。
1. ブラウザのセキュリティ設定
まずブラウザ内でセキュリティ設定を調整し、JavaScriptが特定の機能を実行できないようにします。セキュリティチームはこの対策に加え、アクティブなマイニングコードの実行をすべてブロックするスクリプト遮断拡張機能を活用します。マイニングドメインはコンテンツセキュリティポリシーでブロックされます。WebAssemblyの実行は、信頼できないコンテキストにおいてブラウザポリシーを通じて無効化可能です。ブラウザの更新により、マイニングコードの注入を可能にする脆弱性は定期的に修正されます。
2. ネットワーク監視の導入
ネットワークを防御するため、組織はインフラストラクチャの関連ポイントに監視ツールを導入する必要があります。署名により、侵入検知システム はマイニングプールのトラフィックを認識します。横方向に移動するマイニングマルウェアは、ネットワークセグメンテーションによってブロックされます。DNS フィルタリングは、ターゲットからマイニングプールとして識別されたドメインへの接続を防止します。乗っ取られたシステムからの異常なトラフィックパターンは、帯域幅の監視によって検出されます。
3.エンドポイント保護の設定
エンドポイントセキュリティツール は、マイニングマルウェアからの保護を確保するのに役立ちます。アプリケーションのホワイトリスト化により、不正なマイナーの実行をブロックします。マイニングプロセスが検出された場合、そのプロセスは終了または遮断され、悪意のある乗っ取りを単独で実行できなくなります。リソース使用率アラートは、不審と思われるシステム活動を特定します。ファイル整合性監視により、システムへの不正な変更を追跡します。メモリ保護は、マイナーが使用するコード注入手法を妨げます。
4.セキュリティ意識向上の要件
暗号通貨マイニング攻撃の脅威は、ユーザー教育のためのセキュリティ意識向上プログラムで取り上げるべきです。トレーニングには、システム内の異常な動作の発見方法が含まれます。従業員は、インターネットからソフトウェアを安全にダウンロードし実行する方法について訓練を受ける必要があります。インシデント報告プロセスにより、組織は感染の疑いに対して迅速に対応できます。
5.パッチ管理戦略
パッチ管理戦略は、既知の脆弱性が悪用されるのを防ぎます。セキュリティチームは、すべてのシステムに対して定期的な更新プログラムを用意すべきです。これにより、自動化されたパッチ展開を使用して、組織がタイムリーに保護を確保できます。パッチが適用されていないシステムの特定と、インフラ全体にわたる脆弱性スキャンによるパッチ状況の追跡は、構成管理によって行われます。
結論
クリプトジャッキングは、複雑さと規模において進化を続ける継続的なサイバーセキュリティ脅威です。コンピューティングリソースを枯渇させるだけでなく、運用コストの増加、ハードウェアの損傷、そして発生する可能性が高い規制違反に対する罰金により、こうした攻撃は多大な金銭的損失も引き起こします。マイナーは日々高度化する回避技術を採用しているため、組織がマイナーを検知・阻止することは困難です。企業は、クラウドセキュリティ体制において迅速な検知と対応を実現するソリューションとコストを両立させ、クリプトジャッキングに対する防御策を講じています。これらの攻撃ベクトル、ブラウザベースのインジェクション、ファイルレスマルウェアなどを把握することで、組織は適切な防御策を展開できます。クリプトジャッキングに対する堅牢な防御戦略は、システム監視、ネットワーク分析、従業員の意識向上で構成されます。
クリプトジャッキングに関するよくある質問
クリプトジャッキングとは、攻撃者が標的のコンピューティング能力を密かに利用して暗号通貨を採掘する攻撃です。この攻撃では、ブラウザスクリプト、悪意のある実行ファイル、またはファイルレスマルウェアのいずれかの方法で採掘コードを配信し、許可なく暗号通貨を採掘します。
クリプトジャッキングの影響には、電気料金の増加、ハードウェアの過負荷による損傷の可能性、システムパフォーマンスの低下などが含まれます。組織はまた、生産性の低下、各種規制への非準拠リスク、検出ツールや修復対策のための追加セキュリティコストの発生を経験します。
クリプトジャッキング活動は、正当な投資資本を用いずに仮想通貨ネットワーク全体のマイニングパワー比率を上昇させ、仮想通貨市場に影響を与えます。このような不正なマイニングは仮想通貨マイニングの難易度にも影響し、CPUで採掘可能な仮想通貨の市場動向にも影響を及ぼす可能性があります。
クリプトジャッキングマルウェアの除去プロセスには、実行中のマイニングプロセスの特定と強制終了、悪意のあるファイルの削除、永続化メカニズムの排除が含まれます。セキュリティソリューションを使用してシステムをスキャンし、感染を駆除し、調査を通じて完全に除去されたことを確認します。
CPU使用率の監視、マイニングプールへの送信ネットワーク接続の監視、マイナーマルウェアのコードシグネチャのスキャンによって多くの検知が可能です。セキュリティツールは、不審なプロセス、異常なネットワークトラフィック、不正なリソース使用を検出できます。
クリプトジャッキングに関連する主な犯罪は、コンピュータアクセス法違反であり、刑事訴追につながります。意図せずクリプトジャッキングコードを実行している組織は、規制コンプライアンス違反となる可能性があり、さらにマイニングにおける不正な操作を行ったことに対する法的責任を問われる可能性があります。