暗号資産（仮想通貨）をマイニングする不正プログラムへの感染拡散活動とその考察

サーバの設定不備を突いて拡散する
マイニングネットワークトレンドマイクロのサイバーセキュリティ・イノベーション研究所スレット・インテリジェンス・センターでは、暗号資産※1の不正マイニング（不正プログラムによる採掘活動）に係る攻撃の観測及び分析を行っています。
インターネット上に公開されたサービスの設定不備を狙ってサーバを不正プログラムに感染させ、暗号資産の不正マイニングを試みる活動が活発であり、昨今その活動や被害事例の報告は増加傾向にあります。また、JPCERT/CC からも観測された攻撃の内容や詳細について公開されています※2。

私たちは、自身が管理しているサーバへのアクセス解析や攻撃の指令に使用されたスクリプトファイルやツールの分析を行い、攻撃の実態解明と共に、攻撃の無効化や被害の低減を図る活動を行っています。

本稿では、データベースであるRedisのサービスを悪用し、暗号資産「Monero（モネロ）」の不正マイニングを行うプログラムへの感染を拡散する攻撃について取り上げます。

※1一般的には仮想通貨とも呼ばれていますが、本稿では暗号資産と表記します。
※2https://blogs.jpcert.or.jp/ja/2021/05/xmrig.html

暗号資産「Monero」を欲しがるサイバー犯罪者暗号資産の一種であるMoneroの特徴として、高い匿名性があげられます。取引がパブリックな取引台帳に記録される他の暗号資産とは異なり、様々な技術を組み合わせることで匿名性が確保されています。

近年に被害が深刻化している二重脅迫型ランサムウェア（企業ネットワークからデータを持ち出すとともに企業内データを暗号化し、金銭の支払いに応じなければ持ち出したデータを公開すると脅迫するサイバー犯罪）において、その要求通貨としてMoneroが指定されたケースも確認されています。

また、マイニングのコストが低く参入障壁が低いことでも知られており、このような特徴から、Moneroのマイニングが不正プログラムの機能として組み込まれ、犯罪者の収入源になっています。
もちろん、MoneroやMonero利用者すべてに悪性があるということではありませんが、サイバー犯罪者にとって都合の良い通貨であることは間違いありません。

Redis サービスを悪用する攻撃拡散の実態Redisは、メモリ上で動作するデータベースであり、オープンソースのソフトウェアとして公開されています。インターネット上にRedisのサービスを公開しているサーバに対する攻撃が活発です。
これらの攻撃は、Redisの設定に不備があることを悪用し、外部からデータを書き加えサーバを不正プログラムへの感染を試みます。攻撃に成功した場合、感染したサーバは Monero の不正マイニングを行うとともに、攻撃環境を整え、他のサーバへ攻撃を開始します。

トレンドマイクロによる2021年7月時点の調査において、日本国内のIPアドレスでRedis のサービスが公開されていたサーバのうち、89.8%が攻撃の対象となりデータが書き加えられていた可能性があることが判明しました。ただしこの攻撃は、データが書き加えられたとしても直ちに不正マイニングが開始されたり他のサーバへの攻撃に加担させられたりするものではありません。
攻撃の成立にはRedisサービスを動作させているユーザが高い権限を有していることや予めジョブスケジューラがインストールされて動作していること、被害サーバからインターネット上の外部のサーバへ通信が許可されていること等、データの改ざんとは別の前提条件が必要であることも判明しています。
現時点では、日本国内において実際に感染状態にあるサーバは比較的少数であると分析しています。

したがって、攻撃を過度に恐れすぎず、正しく理解し正しく対処することが重要です。
対処方法については後段の「自社が攻撃に加担しないために必要なこと」をご覧ください。

私たちが管理し監視を行っているサーバに対しても、継続して攻撃が試行されていることを確認しています。2021年7月には、一か月の間に1台のサーバに対して5万2千回を超える回数の攻撃を観測しました。単純に平均すると、およそ1分に1回以上の間隔で攻撃を受けている計算です。

サーバが感染した場合、他のサーバへ攻撃を開始し拡散を試みる機能があることから、攻撃のアクセス元の大半は感染してしまった被害者であろうと推測しています。攻撃のアクセス元IPアドレスを分析すると、ある特定の国・地域に偏りがあり、攻撃全体の約8割を占めています。つまり、被害者はその地域に集中していると言えます。

その特定の国・地域に、感染の原因となり得るような技術的な背景やインターネット文化が存在しているのであれば、それらを是正する働きかけを行うことによって、インターネットの世界に蔓延している拡散活動を減らすことができるのではないかと推測されます。現時点ではそうしたアプローチが有効になるような要因までは掴めていませんが、拡散活動を減らすために、私たちは分析を続けています。

自社が攻撃に加担しないために必要なことRedis サービスを取り扱う際に、アクセス元を制限せずインターネット上の全世界に公開すべきかどうかよく検討すべきです。不要な接続は全て拒否し、必要なIPアドレスからのみ接続を許可する対策が重要です。
また、Redisにはシンプルなパスワード認証機能がありますが、標準では有効化されていません。認証機能の有効化も防御策の一つとして効果があるでしょう。ただし、今回取り上げた一連の攻撃では単純なパスワードを予め用意しておき認証の突破を試みる「辞書攻撃」も行われています。ある程度の長さや複雑さを持つパスワードを設定しましょう。
更に、Redisには内部コマンドの無効化や名前を変更する機能もあります。例えば、データを書き込む「set」コマンドや、Redisの設定を変更する「config」コマンド、設定を保存する「save」コマンドの無効化や名前変更で、攻撃によるデータの書き込みを制限することができます。

本稿で取り上げた攻撃に限定せずとも、インターネットを通じてシステムを利用していれば、不正プログラムに感染し、知らず知らずのうちに自身が攻撃に加担し、システムリソースの悪用によって犯罪者に収益をもたらしてしまう可能性があります。
意図せず犯罪者に加担してしまわないためにも、不要なポートは外部公開しない、システムに異変がないか日常的に点検を行う、定期的に専門家による診断を受ける、システムの脆弱性を正しく対処する等、基本的なセキュリティ運用が求められます。

自身が管理する重要な情報資産を守るだけではなく、被害の拡散、またそれに伴う様々な影響を最小限にとどめるためにも、全てのシステムに対して適切なセキュリティ対策を施すことが重要であると考えます。

不正な活動を根絶するためにサイバーセキュリティ・イノベーション研究所ができることトレンドマイクロは設立以来「デジタルインフォメーションを安全に交換できる世界の実現」をVisionとして、当社の技術力、組織能力を製品、サービスとして展開してまいりました。

そして、サイバー犯罪から社会や人々を守ることは私たちの重要な使命の1つとしてとらえています。サイバー犯罪の手口の解明、またサイバー犯罪の活動開始から目的達成までの流れの遮断に寄与するべく、当研究所ではサイバー犯罪の調査研究を通じて情報を発信し、実施すべき対策の啓発や推進に繋がる活動を行ってまいります。

サイバーセキュリティ・イノベーション研究所

2021年に、セキュリティイノベーションを推進する組織として設立。トレンドマイクロの製品・サービスの安全性を評価する「トランスペアレンシー・センター」、日本国内の個人や法人組織を狙う高度なサイバー攻撃などに関する情報を発信し対策支援を行う「スレット・インテリジェンス・センター」、セキュリティ人材の育成を支援する「セキュリティ・ナレッジ＆エデュケーション・センター」を中核として、法人組織のセキュリティイノベーション推進を支援。