現在も絶えない仮想通貨モネロ（XMR）「マイニングマルウェア」の脅威｜独自考察

トレンドマイクロ社が報告書を公開

サイバーセキュリティを専門とする「トレンドマイクロ社」は6月10日、マイニングマルウェアの脅威について報告書を公開した。

公開された報告書は、【Oracle Weblogic】というソフトウェアの脆弱性（CVE-2019-2725）を利用して仮想通貨モネロをマイニングするマルウェアに関するものだ。当該脆弱性の分析、そして2019年に入ってからも続く、端末に侵入してマイニングを行うマルウェア（ここではマイニングマルウェアと呼称する）について見ていきたい。

トレンドマイクロ社の報告から見えてくるもの

このマルウェアに関する分析は、SANS ISC INFOSECフォーラムが情報源となっている。

そもそもOracle WebLogicは、JAVAが動くアプリケーションサーバーだ。もう少し詳しく説明すると、オラクル社が提供する業務用ミドルウェアや開発者向け製品などのソフトウェア製品群であり、エンジニアを除けば普通は扱うことはないだろう。

しかし、脆弱性の利用方法を見ていくと興味深い点が見つかる。ブラウザはHTTPSで暗号化された通信を行うため、相手が正しいURL(例えば coinpost.jp)であることを証明書を使って確認する。そして、今回はこの証明書に攻撃のペイロード(実際に攻撃を行うためのコード)が含まれていた。

以下の画像は、証明書を実際に見たことがある人向けだが、一見、普通の証明書に見える。

しかしこれをデコードすると、攻撃ペイロードのPowershellスクリプトが含まれていることが分かる。URLはhxxpとなっているが、特定のIPアドレスに通信を行っていることが分かるだろうか。この処理が行われてしまうと、update.ps1というスクリプトが実行され、勝手にモネロをマイニングされてしまうのだ。

証明書を利用してマルウェアを配布するというアイデア自体は目新しいものではない。 昨年時点で概念実証は行われており、Excelをマクロを含めて実行させるなど、実行可能であることが示されていた。

一方で今回の事例を見ると、証明書に隠したスクリプト単体で動作するものではなく、特定IPへの通信は複雑な技術を用いずに通信される仕組みになっている。つまり、この通信をマルウェア対策ソフトウェアなどで検知される可能性があるということだ。この点は、まだまだ攻撃に改良の余地があることを示しており、報告書でもテストの可能性があると述べている。

活発化するマイニングマルウェアによる攻撃

ビットコインなど暗号資産の価格が上昇するに伴い、攻撃者の活動も活発化している様子だ。 6月10日には8つの脆弱性を利用してマイニングマルウェアを送り込むBlackSquidについて、6月11日にはインターネットから接続可能なデバイスを探索した上でDockerコンテナを送り込むという手口に関して、同様にトレンドマイクロ社が日本語で注意喚起している。

前者のBlackSquidは、いずれも比較的古い脆弱性(EternalBlueやDoublePalserと呼ばれるもの等)を対象としており、恐らく既存のマルウェアなどを組み合わせたものと考えられる。

攻撃結果として、やはりモネロのマイニングを行うマイナーXMRigを起動する。 タイと米国で多く検出されたということだが、実装されていない機能も存在することから、将来的にさらなる開発が進められる可能性があるとのことだ。

また、後者のDockerコンテナを用いた手口でも、やはりMoneroを採掘するマイナーが含まれていた。Dockerに代表されるコンテナ技術は、LinuxやWindowsといったOSそれ自体を管理する手間を省力化できるなどの理由で急速に普及している。一方、新しい技術であることから、設定ミスがあると攻撃に晒されてしまう事例と言える。

おわりに

トレンドマイクロ社から報じられた攻撃について、複数の種類のマイニングマルウェアが出回っている点を紹介した。攻撃者がモネロをマイニングするのは利益や匿名性といった点を考慮した結果だと思われるが、将来も同じとは限らない。

また、暗号資産のマイニングに限らず、脆弱な環境は様々な形で悪用されてしまうだろう。ユーザー側の対策としては、OSやソフトウェアはなるべく最新にアップデートしたり、何か新しいものを取り入れるときは公式の情報を確認したり、仕組みを理解して使うことが大切だ。