クリプトジャッキングは、ユーザの知らないうちにPCが不正に仮想通貨のマイニングに利用されてしまう行為です。
これ自体、個人情報の漏えいやPCの所有者から不正に財産を窃取するようなことはありません。
しかし、マイニングには膨大な処理・電力が必要になり、それをデバイスのメモリ・CPUで行うことで大きな負荷がかかってしまい、デバイスが大きくダメージを受ける、電気代が跳ね上がる、といったことが起こります。また、そもそも不正にアクセスされていることになるので、気持ちのいいものではありません。
不正アクセスの一類型として対策の必要がありますので、手口・背景・影響および予防策について押さえておきましょう。
クリプトジャッキングとは
クリプトジャッキングとは、悪意のある第三者がターゲットのデバイスを不正に使用して暗号資産のマイニングを行うことです。
ちなみに、マイニングとは取引(トランザクション)などのデータを検証・承認し、ブロックチェーンに保存する作業のことで、その報酬として暗号資産(仮想通貨) を獲得することができます。
しかし、この作業ではかなり膨大なコンピュータ処理・電力が必要になります。一説によると、日本の電気料金体系では、マイニングによって暗号資産を獲得しても費用対効果が合わないといわれています。
そこで、全く関係のない他人のデバイスを使用してマイニングを行うというクリプトジャッキングが考案されました。
これはあくまで傾向の話ですが、クリプトジャッキングの被害は中小企業が受けやすいといわれています。中小企業は、企業としてある程度しっかりしたデバイスを所有している、一方で、大企業ほど不正アクセスにコスト・リソースをかけられないため侵入しやすく、Webページや標的型攻撃などを通じて被害に遭いやすいということです。
また、クリプトジャッキングに使用されるマルウェアのことをクリプトマイナーと言います。
クリプトジャッキングの手口
クリプトジャッキングの手口は主にメールからパソコンをマルウェアに感染させる、標的型メール攻撃による手口と、Webサイトから悪意のあるコードを入れ込む手口の2つがあります。
メールからマルウェアに感染させる
添付ファイルやURLを仕込んだメールを送信し、それらの開封・クリックでドが実行され、バックグラウンドでのマイニングがなされます。
こうしたメールは標的型攻撃メールと呼ばれ、ターゲットの企業・個人に向けてカスタマイズされており、業務に関係ある内容や上司・顧客などを装った内容でついつい開いてしまうように仕向けられています。
標的型攻撃メールについて詳しくは「業務連絡を装ったメールに注意!標的型攻撃メールの概要と対策」で解説していますので、あわせてお読みください。
Webサイトから悪意のあるコードを入れ込む
Webサイトやバナーに不正なコードを埋め込み、ページを閲覧すると実行される手口です。SSL暗号化(HTPPS)されていないサイトや、ポップアップ広告などにある場合が多いです。
これらの手口により、クリプトジャッキングにあうと、意図しないところでCPU・メモリといったリソースがマイニングに使われ、占有されていき、その結果、使用デバイスが処理速度の大幅な低下や過負荷による熱暴走を起こし、業務に支障をきたします。
クリプトジャッキングが実行される背景
SonicWall Capture Labsの調査によると、2022年には139,260,751件のクリプトジャッキングが行われ、これは前年にあたる2021年から43%も増加した数字です。
「クリプトジャッキングのゴールドラッシュ」とまで言われた2017年から年々増加を続けており、これからも引き続き警戒が必要な脅威です。
この爆発的な件数の伸びの背景には以下の3点があります。
- 広告収入の限界
- 運営者がウェブサイトから収入を得ることができる広告が頭打ちになってきつつあることが、新たな収益源を探すモチベーションを上げました。クリプトジャッキングは、広告の限界を打破する新たな収入源と考えられたのです。
- 仮想通貨の高騰
- 2017年以降、仮想通貨が高騰し、財産として価値を持つものと考えられるようになったこともこの件数の伸びと因果関係があります。
- 参入ハードルが低い
- クリプトジャッキングは、仕掛けとして技術的にそれほど難しいものではなく、Webサイト・メールのURLから仕掛けることが可能なものです。他の不正アクセスの手口よりも難易度は低いものであることから、参入が容易といえます。
クリプトジャッキング の事例
クリプトジャッキングは、有名企業でも被害にあっているところがあり、たとえばテスラは、利用していたAWSによるクラウドサーバに、クリプトジャッキングを仕掛けられました。
より生活に身近なところでは、80万台のAndroidデバイスに、勝手にクリプトマイナーがインストールされていたという事態も発生しています。
日本でのクリプトジャッキングの草分け的な存在として、Coinhiveというものがあります。Coinhiveはマイニングスクリプトのサービスとして公開されていました。Coinhiveは警察による検挙にまで発展し2019年にサービスを終了したものの、以降さまざまなクリプトジャッキングツールが後に続きました。
ちなみに、Coinhiveの設置者は不正指令電磁的記録に関する罪として検挙され、裁判では地裁で無罪となり、高等裁判所で逆転有罪、しかし、最高裁で逆転無罪となりました。利用者の意図に反する(反意図性)が、不正性は認められない、との判決でした。
こうした新たな脅威は法で裁くのも難しく、無罪判決の前例が出たからには、今後もますます増加していくことが見込まれます。しっかり自衛していきましょう。
ちなみに、この件はCoinhive事件と言われ、ご存知の方もいらっしゃるかと思います。
クリプトジャッキングの対策
クリプトジャッキングについて、セキュリティの観点から注目すべきは以下の3つのポイントであると考えられます。
- まず、ユーザの許可のないクリプトジャッキングは不正アクセスである
- クリプトマイナーをインストールするWebサイトへのアクセスは防ぐ必要がある
- 標的型メール攻撃によるクリプトマイナーのインストールも予防される必要がある
この3つのポイントについて、カバーする予防策を考えると、以下の通りです。
ウイルス対策ソフトの導入
主要なセキュリティソフトは、クリプトジャッキングに使用されるクリプトマイナーをマルウェアとして認識し、検知できます。また、クリプトジャッキングを検出すると、警告が出たり、アクセスを遮断したりするため、ある程度有効です。。
ウイルス対策ソフトの多くは、マルウェア除去も行ってくれるため、クリプトマイナーも除去することが可能です。
余談になりますが、ウイルス対策ソフトは最新バージョンのものをインストールし利用するようにしましょう。
OSやブラウザを最新化
OSやブラウザは、最新化しておきましょう。
セキュリティ関連の修正は、Windowsや、Chromeの場合、即時で適用されますが、常にOS・ブラウザは最新にしておくことで、脆弱性に対する最新の対策をカバーしていることになります。脆弱性以前に、不審なサイトそのものへのアクセスの予防対策にもなります。
自動でOSやブラウザをアップデートすることが理想ですが、そうでなくてもアラートが出たら、速やかにアップデートし、最新化しておきましょう。
ソフトウェアアップデートの扱いについては、「OSやソフトウェアアップデートの必要性とは?最新が正解とは限らない」をご覧ください。
広告表示をブロック
クリプトジャッキングはポップアップ広告と同じ手法で動作するものも存在します。そこで、ポップアップブロッカーでブロックしておく、というのも一つの対策になります。
また、ブラウザの拡張機能から不要なものは取り除く、ブラウザ上でのJavaScriptの実行を無効化しておく、なども有効です。JavaScriptの実行を無効にしておくと、不審なサイトやメールからダウンロードしてしまったマルウェアが自動で実行されるのを防止できる場合があります。
そのほか、業務上利用するパソコンからはhttps化されていないサイトにはアクセスしないこと、不審なメールを開けないこと、メール本文のURLをクリックしないこと、などなどは、基本的なセキュリティ対策として押さえておく内容ですが、同時にクリプトジャッキング対策にもなります。
企業が対策するべきセキュリティ対策をまとめたチェックリストを無料で配布していますので、ぜひご覧ください。
まとめ
クリプトジャッキングは、クリプトマイナーを用いて、他人のパソコンを勝手に利用してコインマイニングを行います。
パソコンの通常の利用を妨げる被害が出る可能性があることから、本文でご紹介したようなウイルス対策ソフトや、OS・ブラウザの最新化、ポップアップブロッカーなどの対策を講じる必要があります。また、こうしたクリプトジャッキングへの対策は、ある程度基本的なセキュリティ対策として他の脅威への予防にもなりますので、ぜひ押さえておいてください。
