検索
連載

魔の手が伸びる「仮想通貨」、新手の攻撃セキュリティクラスタ まとめのまとめ 2018年5月版(3/3 ページ)

2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。

Share
Tweet
LINE
Hatena
前のページへ |       

「Coinhive」でビットコインを掘ってもらうと逮捕される!?

 仮想通貨の採掘には高性能なGPUを備えた専用マシンとアプリケーションが多く使われています。最近では「Coinhive」を筆頭にJavaScriptを使って、閲覧者がブラウザでWebページを表示するだけで、閲覧者側の計算能力を使って仮想通貨を採掘できるようになっています。

 攻撃者は乗っ取ったサーバやPCをこれまでもさまざまな目的で悪用してきました。最近では仮想通貨を採掘させることが多くなっています。被害者のPCに不正なプログラムを埋め込み、実行させて、仮想通貨を採掘させる手法や、クラウドサービスのアカウントを乗っ取って仮想通貨を採掘させるなどのやり方が広がっています。

 この2つを組み合わせて、攻撃者がWebサイトを書き換えて仮想通貨を採掘させるJavaScriptを埋め込み、書き換えたページを不特定多数に閲覧させて仮想通貨を採掘させることも多くなっているようです。

 このような悪用が増えてきたためか、「Coinhiveを設置したことで警察の捜査を受けているとの相談が、複数寄せられています」という@HiromitsuTakagi氏のツイートが投稿されて、TLを騒がせました。

 「Coinhive」スクリプトの基本的な使い方は、自分のサイトに設置して、見に来たユーザーに採掘してもらうというものです。しかし、スクリプトの設置がウイルスと同じような「不正指令電磁的記録の供用」とされてしまうのではないか、というTLがありました。岡崎市立中央図書館を攻撃したとして、クローラーを書いて動かしていた個人が誤認逮捕されてしまったLibrahack事件のようになってしまうのではないか、と懸念を示すツイートもありました。

 Coinhiveが違法であるなら、同じようにWebサイトに設置してJavaScriptで広告を表示することはなぜ違法でないのか、バナー広告と大した違いはないのに、それがどうして罪になるのか分からない、さらに仮想通貨の採掘よりも動画広告をダウンロードさせられる方が「ギガが減って困る」というツイートもありました。



 この他にも5月のセキュリティクラスタは次のような話題で盛り上がっていました。6月はどのようなことが起きるのでしょうね。

  • 実は政府からの依頼だった!? 海賊版サイトブロッキング
  • DEFCON予選開催される。日本チームも出場決定
  • 第22回サイバー犯罪に関する白浜シンポジウム開催
  • 森永乳業の通販サイトからカード情報が流出、不正使用も
  • メニコン子会社のサイトがOpenSSLの脆弱性を突かれて情報流出
  • mineoが通信「最適化」開始前に情報公開していなかったことをおわび
  • 「世界的ハッカー集団アノニマスの元一員」が「世界一受けたい授業」に出演

著者プロフィール

山本洋介山(NTTコミュニケーションズ株式会社)

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
ページトップに戻る