魔の手が伸びる「仮想通貨」、新手の攻撃:セキュリティクラスタ まとめのまとめ 2018年5月版(3/3 ページ)
2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。
「Coinhive」でビットコインを掘ってもらうと逮捕される!?
仮想通貨の採掘には高性能なGPUを備えた専用マシンとアプリケーションが多く使われています。最近では「Coinhive」を筆頭にJavaScriptを使って、閲覧者がブラウザでWebページを表示するだけで、閲覧者側の計算能力を使って仮想通貨を採掘できるようになっています。
攻撃者は乗っ取ったサーバやPCをこれまでもさまざまな目的で悪用してきました。最近では仮想通貨を採掘させることが多くなっています。被害者のPCに不正なプログラムを埋め込み、実行させて、仮想通貨を採掘させる手法や、クラウドサービスのアカウントを乗っ取って仮想通貨を採掘させるなどのやり方が広がっています。
この2つを組み合わせて、攻撃者がWebサイトを書き換えて仮想通貨を採掘させるJavaScriptを埋め込み、書き換えたページを不特定多数に閲覧させて仮想通貨を採掘させることも多くなっているようです。
このような悪用が増えてきたためか、「Coinhiveを設置したことで警察の捜査を受けているとの相談が、複数寄せられています」という@HiromitsuTakagi氏のツイートが投稿されて、TLを騒がせました。
「Coinhive」スクリプトの基本的な使い方は、自分のサイトに設置して、見に来たユーザーに採掘してもらうというものです。しかし、スクリプトの設置がウイルスと同じような「不正指令電磁的記録の供用」とされてしまうのではないか、というTLがありました。岡崎市立中央図書館を攻撃したとして、クローラーを書いて動かしていた個人が誤認逮捕されてしまったLibrahack事件のようになってしまうのではないか、と懸念を示すツイートもありました。
Coinhiveが違法であるなら、同じようにWebサイトに設置してJavaScriptで広告を表示することはなぜ違法でないのか、バナー広告と大した違いはないのに、それがどうして罪になるのか分からない、さらに仮想通貨の採掘よりも動画広告をダウンロードさせられる方が「ギガが減って困る」というツイートもありました。
この他にも5月のセキュリティクラスタは次のような話題で盛り上がっていました。6月はどのようなことが起きるのでしょうね。
- 実は政府からの依頼だった!? 海賊版サイトブロッキング
- DEFCON予選開催される。日本チームも出場決定
- 第22回サイバー犯罪に関する白浜シンポジウム開催
- 森永乳業の通販サイトからカード情報が流出、不正使用も
- メニコン子会社のサイトがOpenSSLの脆弱性を突かれて情報流出
- mineoが通信「最適化」開始前に情報公開していなかったことをおわび
- 「世界的ハッカー集団アノニマスの元一員」が「世界一受けたい授業」に出演
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.