あなたのコンピュータを使っているのは誰？ネットワークパフォーマンスを低下させるクリプトジャッキング

2021.11.01

2021年10月22日、Tony Burgess

ネットワークパフォーマンスが低下してきたらどうしますか？従業員のWeb利用状況をチェックして、より厳しいポリシーを適用しますか？帯域幅の使用状況を確認し、適切なロードバランシングを行いますか？アプリケーションが適切に設定され、セキュリティが確保されていることを確認しますか？データストレージの容量や伝送リンクを増設しますか？これらはどれも正しい対応かもしれません。しかし、最近増えている「クリプトジャッキング」と呼ばれるタイプのマルウェア攻撃には、どれも対応できません。

クリプトジャッキング。あなたのリソースは彼らの利益のために使われる

クリプトジャッキング攻撃では、攻撃者にコンピュータを制御させるマルウェアをできるだけ多くのデバイスに侵入させ、それらのデバイスを使って仮想通貨をマイニングし、攻撃者に利益をもたらします。このようにして制御されたデバイスは、基本的には従来のボットネットとよく似ていますが、大規模なDDoS攻撃に使われるのではなく、単に仮想通貨を生成するために非常に複雑な計算を処理するために使われます。

クリプトジャッカーが大きな金銭的利益を得るためには、多くのデバイス（またはクラウドサーバのような大容量のデバイス）をコントロールする必要があります。2020年の事例では、ルイジアナ州立大学（LSU）の学生が、169台の大学のコンピュータを操作して仮想通貨をマイニングしたことを告白しています。その結果、2年間で約2,500ドルの利益を得ました。

LSUのケースでは、犯人はUSBフラッシュドライブを使ってクリプトマイニングマルウェアを各コンピュータに直接読み込ませました。しかし、デバイスを乗っ取るために使用される悪意のあるコードは、フィッシングメールを介して配信されたり、危険なWebサイトや悪意のあるWebサイトに埋め込まれたりする可能性の方がはるかに高いのです。

クリプトジャッキングの人気は、仮想通貨の価格とともに変化します。価格が高騰すると、クリプトジャッキング攻撃も急増します。このタイプの攻撃が発見されたのは2017年のことですが、Wiredによると、2018年にはサイバー脅威の35％を占めることが判明し、長年のチャンピオンであるランサムウェアと張り合うほどです。

潜在的な損害

クリプトジャッキングは、パフォーマンスの低下、電気代の増加、パフォーマンス問題に対処するためのIT間接費の増加などの、被害者に深刻なダメージを与えることはほとんどありません。しかし、場合によっては、CPUへの負荷が非常に高くなり、デバイスが過熱して物理的なダメージを受けることもあります。

さらに憂慮すべきことに、重要なインフラへの攻撃として、ヨーロッパの水道事業者の運用技術ネットワークがクリプトジャッキングマルウェアに感染していたことが判明したケースが少なくとも1件ありました。産業制御システム（ICS: Industrial Control System）では、通常、大量の処理能力が必要とされますが、そのほとんどはたまにしか使われません。このような過剰な処理能力に加え、通常の電力使用量が多く、また多くの場合、侵入が比較的容易なレガシーシステムであることから、このようなインフラは、クリプトジャッカーにとって特に魅力的なものとなっています。このような攻撃によってICSのプロセッサや帯域幅が圧迫され、アプリケーションが一時停止したりクラッシュしたりすれば、現実に大きな影響を及ぼすことになります。

検知と予防

進行中のクリプトジャッキングを検知するのは困難です。考えられる兆候の1つは、パフォーマンスの低下に関するIT関連の問い合わせが突然増えることです。また、電気代の増加も考えられます。Syslogを見れば、オフタイムのプロセッサ使用率が高いことがわかるはずで、これも前兆の可能性があります。しかし、最近のマイニングマルウェアは、マウスやキーボードの操作を検知すると自動的に電源が切れるなど、検知されないように慎重に設計されています。

予防策としては、一般的なセキュリティ対策と、クリプトジャッキングに特化した対策を組み合わせることです。

ユーザトレーニングを徹底しましょう。フィッシング攻撃は、クリプトジャッキングの一般的な媒介であるため、フィッシングを防ぐためにできることはすべて、クリプトジャッキングからの保護につながります。そのため、悪意のあるメールを発見して報告するユーザの能力を向上させた実績のある、最新のコンピュータベースのセキュリティ意識向上トレーニングソリューションを導入する必要があります。
高度なフィッシング対策テクノロジを使用しましょう。クリプトジャッキングマルウェアがフィッシングメールを使って防御を突破するのを防ぐためのもう1つの重要なツールは、最新のAIを搭載したフィッシング対策ソリューションです。これらの製品は、組織のコミュニケーションパターンを学習し、悪意の可能性がある異常を発見します。
強力で最新のWebフィルタリングソリューションを使用しましょう。多くのベンダは、クリプトマイニングスクリプトを検出して、実行しないようにする機能を備えています。また、ユーザがクリプトジャッキングサイトにアクセスできないように、Webサイトのブロックリストを必ず更新してください。
エンドポイントセキュリティが、既知のクリプトマイニングマルウェアを検出できることを確認しましょう。多くのベンダは、シグネチャデータベースにこのカテゴリのマルウェアを追加しています。常に最新のシグネチャファイルを使用するようにしてください。
広告ブロックやクリプトマイニング対策の拡張機能の使用を検討しましょう。Webブラウザにこれらをインストールすることで、Web広告を介して配信されることの多いクリプトジャッキングスクリプトをブロックできるという点で大きな違いが生まれます。
アウトバウンドネットワークとアプリケーションのトラフィックを監視しましょう。最新のネットワークおよびアプリケーションファイアウォールは、送信トラフィックを検査およびフィルタリングします。これは、クリプトジャッキングの検出および無効化に役立ちます。
自社アプリケーションが危険にさらされないようにしましょう。自社アプリケーションがクリプトジャッキングスクリプトによって侵害された場合、知らず知らずのうちに、公開アプリケーションを使用するすべてのデバイスに感染している可能性があります。強力なWebアプリケーションファイアウォールは、悪意のあるコードの挿入を検出または防止することができます。
アクセス制御に最新のアプローチを採用しましょう。ゼロトラストアクセス制御を含むSASE（Secure Access Service Edge）ネットワークセキュリティインフラストラクチャを使用することで、クリプトジャッキングコードの挿入を目的としたシステムへの不正アクセスを防ぐことができます。