電子通貨「Bitcoin(ビットコイン)」は、2008年にその構想が発表されましたが、注目を集めるようになったのは2011年9月頃からのようです。ビットコインへの人々の関心が高まる中、サイバー犯罪者はこれに目をつけ、「ビットコインマイニングマルウェア」を用いた不正活動を始めています。「ビットコインマイニングマルウェア」とは、ビットコインを生成するソフトウェア「ビットコインマイナー」をユーザのコンピュータにインストールするマルウェアです。このマルウェアを用いることにより、サイバー犯罪者は、標的とするコンピュータの計算資源を自身の利益のために利用することが可能となります。

ビットコインとは何ですか?また、どのように生成されますか?

ビットコインとは、ピアツーピア(P2P)ネットワークを用いて取引の記録や確認を行う電子通貨の一種です。ビットコインのシステムは、金融機関を利用しないため、この通貨を管理する中央権力を必要としません。ビットコインは、ウェブホスティング、モバイルアプリの開発およびクラウド上へのファイル保管といったさまざまなオンラインサービスへの支払いに使用されます。また、ゲーム、音楽、ギフトカードおよび本などの商品への支払いにも使用されます。現実の世界でも、一部の機関ではさまざまな商品代金をビットコインで支払うことが可能であることから、ビットコインの使用は、オンライン上での取引に限られたものではなくなってきています。また、ビットコインは、ほぼすべての国際通貨への両替を提供するWebサイトを介して、従来の通貨と交換することが可能です。ビットコインのブロックは暗号化された問題であり、この問題を解くためにはコンピュータの高い処理能力が必要となります。

ビットコインマイナーは、どのようにしてコンピュータに侵入しますか?

ビットコインマイナーをインストールするビットコインマイニングマルウェアの大半は、不正なWebサイトから誤ってダウンロードされ、ソーシャルメディアを経由してコンピュータに侵入します。また、コンピュータやアプリケーションの脆弱性を利用して感染をもたらす場合もあります。

BKDR_BTMINE.MNR」は、マルウェアのパッケージの一部としてユーザのコンピュータに侵入します。また、他のマルウェア、グレイウェアまたはスパイウェアによって不正なWebサイトからダウンロードされる場合もあります。さらには、悪意のあるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入する場合もあります。

BKDR_BTMINE.DDOS」も「BKDR_BTMINE.MNR」と同様、マルウェアのパッケージの一部としてユーザのコンピュータに侵入します。また、他のマルウェア、グレイウェアまたはスパイウェアによって不正なWebサイトからダウンロードされる場合もあります。さらには、悪意のあるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入する場合もあります。

その他、サイバー犯罪者は、ソーシャルメディアを利用し、ユーザのコンピュータをビットコインマイナーのマルウェアに感染させます。これまでにトレンドマイクロで確認した事例では、次のような手口が用いられています。 

  1. マイクロブログサイト「Twitter」上に不正なリンクを記した「Tweet(ツイート)」を投稿。 
  2. 投稿の内容に興味を持ったユーザがこのリンクをクリックすると、「WORM_KOLAB.SMQX」がダウンロードされる。 
  3. さらに、「WORM_KOLAB.SMQX」が感染コンピュータ上に「HKTL_BITCOINMINE」をダウンロード。

また、「WORM_OTORUN.ASH」の利用も確認しています。これは、「WORM_OTORUN.ASH」が特定の脆弱性を悪用することによりネットワーク上での感染活動が可能になり、このワームに感染したコンピュータをビットコインを生成するためのネットワーク「マイニングプール」に参加させる、という手口です。「WORM_OTORUN.ASH」もまた、他のマルウェア、グレイウェアまたはスパイウェアによって作成されるか、不正なWebサイトからダウンロードされコンピュータに侵入します。

ビットコインマイニングマルウェアは、どのような攻撃をユーザに仕掛けますか?

ビットコインマイニングのマルウェアは、サイバー犯罪者のためにコンピュータにビットコインを強制的に生成させることを主な目的としています。

「BKDR_BTMINE.MNR」は、不正なWebサイトにアクセスし、特定のIPアドレスを取得します。そして、このマルウェアは、取得したIPアドレスにアクセスし、情報の送受信、他のマルウェアのダウンロードおよび新しいIPアドレスリストの取得を行います。また、このマルウェアは、感染コンピュータの仕様に応じて、3種類のビットコインマイナーの中から1つをダウンロードして利用します。

「BKDR_BTMINE.DDOS」は、IPアドレスのリストと共にコンピュータに侵入します。このマルウェアは、リストに記載されているIPアドレスにアクセスし、情報の送受信、他のマルウェアのダウンロード、新しいIPアドレスのリストの取得および「分散型サービス拒否(DDoS)攻撃」の対象となるWebサイトのリストを取得します。

「WORM_KOLAB.SMQX」は、実行されると、感染コンピュータ内にビットコインマイナー「HKTL_BITCOINMINE」を含むディレクトリを作成します。「WORM_KOLAB.SMQX」は、作成した「HKTL_BITCOINMINE」を利用し、ユーザに気付かれることなくビットコインを生成します。「HKTL_BITCOINMINE」特定のユーザ名およびパスワードを用いて不正なWebサイトへのアクセスを試みましたが、アクセスすることはできませんでした。

「WORM_OTORUN.ASH」は、「Deepbit」として知られるビットコインのマイニングプールに感染コンピュータを強制参加させます。ビットコインのマイニングプールとは、ビットコインマイナーによって構成されるネットワークを意味します。ネットワーク内のビットコインマイナーが協力して1つのブロックを処理することにより、より早くビットコインを獲得することが可能となるのです。こうしたマイニングプールを介して生成されたビットコインは、参加者の間で分配されます。

ビットコインマイニングマルウェアは、どのような影響をユーザに与えますか?

ビットコインを生成する「ビットコインマイニング」のプロセスには、高度な演算能力を必要とします。そのため、ビットコインのブロックを処理することで、感染コンピュータに大きな負担がかかり、動作が異常に遅くなります。ビットコインマイニングマルウェアは、特定の個人を狙っているようには見えませんが、高性能なGraphic Processing Units(GPUs)やビデオカードを備えるコンピュータでは、ビットコインをより早く生成することができるため、サイバー犯罪者は、こうしたコンピュータを選んで攻撃を仕掛けていると考えられます。そのため、コンピュータでゲームをするユーザやグラフィックの多いアプリケーションを使用するユーザのコンピュータが狙われる可能性が、特に高くなります。

サイバー犯罪者がビットコインマイニングマルウェアを拡散した動機はなんですか?

サイバー犯罪者は、不正活動から金銭的な利益を得るために、絶えず新たな手口を工夫しています。ビットコインの生成は、サイバー犯罪者にとって、まさにその目的を果たすための手段といえます。サイバー犯罪者は、ユーザのコンピュータをビットコインマイニングマルウェアに感染させることにより、多くの労力を必要とせずに金儲けをすることが可能となるのです。実際、ビットコインは、徐々に正規の通貨として認識されてきており、現実の世界でも価値があることから、サイバー犯罪者にとって大きな魅力となっているようです。

なぜビットコインマイニングマルウェアの攻撃は Noteworthy(要注意)に分類されたのですか?

トレンドマイクロがこれまでに確認したビットコインマイニング関連のマルウェアの中でも、「WORM_OTORUN.ASH」は特に注目に値します。ビットマイニングのコードが含まれていることは、サイバー犯罪者は、ビットコインの採掘をメインのペイロードと考えていることを意味しています。

コンピュータをこの脅威から守るにはどうすればいいのですか?

安全なコンピュータの使用を習慣づけることにより、コンピュータがビットコインマイニングマルウェアに感染し、知らないうちにビットコインマイニングに利用されるのを防ぐことができます。 

  • 信頼できないWebサイトからアプリケーションのダウンロードおよびインストールをしない。 
  • 発信元にかかわらず、マイクロブログサイト「Twitter」やその他のWebサイトに記載されている短縮URLを安易にクリックしない。短縮URLのリンク先のWebサイトが正規であるのかを判断するのは、ユーザにとって困難であることを肝に銘じておく。
  • 突然、コンピュータの動作が遅くなり、その心当たりがない場合、原因としてコンピュータがビットコインマイニングに利用されていることが考えられる。このような場合、処理能力の消費に著しい増加がないかなどを見ることにより、ビットコインマイニングマルウェアへの感染の可能性を確認することができる。 
  • ビットコインマイニングマルウェアを検出しコンピュータへの感染を防いでくれるようなセキュリティ製品を購入しインストールする。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Webレピュテーション」技術により、マルウェアがダウンロードされてくるような不正なWebサイトへのアクセスを未然にブロックします。また、「ファイルレピュテーション」技術により、万が一、ユーザのコンピュータにビットコインマイニングに関連するマルウェアが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。

スレット・レスポンス・エンジニアの Roland Dela Paz は、以下のようにコメントしています。
「サイバー犯罪者は、不正活動から金銭的な利益を得るために、絶えず新たな手口を工夫しています。ビットコインマイニングのマルウェアによる攻撃は、彼らが利益を得るための1つの手段なのです。ビットコインマイニングは、実際にその活動が直接の利益に繋がるため、彼らの注目を集めているようです」

スレット・レスポンス・エンジニアの Karl Dominguez は、以下のようにコメントしています。
「ビットコインは、2011年9月上旬時点で、1枚8米ドル以上の価値がありました。ビットコインの価値が上がると、サイバー犯罪者にとって増収となることから、より多くのビットコイン獲得をたくらむサイバー犯罪者により、ビットコインマイニングマルウェアの数も増加するでしょう」