他人のCPUを使ってビットコインを採掘、マルウェアなのか:セキュリティクラスタ まとめのまとめ 2017年10月版(3/3 ページ)
2017年10月のセキュリティクラスタ、話題の中心は「ビットコイン」「WPA2」「新ランサムウェア」でした。Webページの閲覧時にビットコインを採掘させる仕組みがマルウェアではないかと議論に。無線LANで広く使用されている暗号化方式「WPA2」では盗聴などにつながる脆弱(ぜいじゃく)性が見つかりましたが、こちらは尻すぼみ。東欧を中心に広がった新ランサムウェア「Bad Rabbit」では、国内サイトが拡散元となり、驚きを呼びました。
仮想通貨をWebブラウザで採掘するサービス、マルウェアなのか
10月になり「Coinhive」をはじめとした、仮想通貨のマイニングを実行するサービスに関するツイートが増えました。特徴はWebサイトを閲覧しているユーザーのWebブラウザ上でマイニングを実行すること。
以前から少しずつ話題にはなっていましたが、10月になって幾つかのサイトで実際にサービスを埋め込んでいたことが分かりました。さらに自分のサイトに埋め込み、マイニングさせていたことを告白するブログや、仮想通貨採掘サービスを解説したブログが公開されたことがツイートに影響しているようです。
勝手にCPUの処理能力を使われて、他人のビットコインを掘るのは気持ち悪いという感情はもちろん、スマホやPCが熱をもつなどの悪影響が出ているようです。
そのため広告に対する広告ブロックと同じように、Webブラウザによる意図しないマイニングをブロックする手段を考える人たちも出てきていました。ウイルス対策ソフトによっては既に不正スクリプトとして検出することもあるようです。
TLでは広告と同じように、Webサイトを見る対価として支払ってもよいのではないかという意見や、許可を取ってからの方が良いのではないかという意見もありました。やり方によっては永続的にマイニングを行わせることが可能なため、これを心配するツイートもありました。
事業者が設置しているならまだモラルの問題です。しかし、マルウェアが埋め込まれているサイトのように、誰かのWebサイトを乗っ取って不正にマイニングのスクリプトを埋め込んでいる事例が見つかりました。
さらにマイニングを実行していると思わせておいて、実はマルウェア配布サイトだったという事例もあるようで、一筋縄にはいかないようです。
10月末には高知県在住のブロガー、イケダハヤト氏が流行に乗って、一時自身のWebサイトにマイニングのスクリプトを設置していました。一応採掘の可否を問うようになっていたものの、拒否しても採掘するという理由で、非難されていました。
この他にも10月のセキュリティクラスタは次のような話題で盛り上がっていました。11月はどのようなことが起きるのでしょうね。
- 脆弱性届出制度に関するIPAの説明会が開催される
- 過去最大規模、米Yahoo!が30億のアカウントを全部抜かれた
- 東邦ガスの会員サイトClub TOHOGAS、不正アクセスで103件の個人情報が流出か
- ほくやく・竹山ホールディングス子会社運営のシマフクロウ・シリーズ、サーバへの不正アクセスで60万人分の情報が流出か
- 島根大学付属図書館のアンケート管理システム、データがダダ漏れ
- アクセンチュアがAmazon S3でACL(Access Control List)設定をミス、誰でも機密情報へアクセス可能に
- ネット銀行のワンタイムパスワードを盗む新型ウイルス「ドリームボット」
- 2014年に起きたベネッセコーポレーションの顧客情報流出事件の上告審、高裁に差し戻し
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.