金儲けの手段:暗号通貨の価値と不正マイニングの関係
ミーム株
や投資アプリのロビンフッド、イーロン・マスク氏のツイートが世界経済に影響を与える中、暗号通貨マイニングはかつてのようなマイナーな活動ではなくなっています。マイニングは暗号通貨とほぼ同時期に誕生しましたが、犯罪者が注目するようになったのは 2017 年後半です。当時、暗号通貨の価格が急騰し、かつてない水準に達していました。大物狙いのランサムウェア攻撃が広まる前のことであり、この頃、ランサムウェア攻撃は下火になり、代わって悪意のある暗号通貨マイニングが台頭してきたわけですが、その勢いが続くかどうかについては研究者は懐疑的でした。
暗号通貨の価値は大きく変動します。暗号通貨のゴッドファーザーとも言えるビットコインは、5 月に 価格が 1 日で 30% 下落しました。ただし、この 1 ヵ月前には過去最高値を記録しています。ネット上の攻撃者は常に金儲けの方法を探しています。暗号通貨マイナーは攻撃者が標的のマシンに感染できる最も手っ取り早い方法であり、ユーザのマシンの処理能力を奪って仮想通貨をマイニングすることで利益を得ます。
さて、ここで疑問が生まれました。暗号通貨の変動の大きさは実際の暗号通貨マイニングの活動量に影響するのでしょうか?暗号通貨の価値が高まるほど、攻撃者のマイニング意欲は高まると考えられます。このところ暗号通貨の価格が急騰していることから、Talos はデータを詳しく調べ始めました。
今回の調査で最も注目したのが、通貨自体の価値です。RAT やバンキング型トロイの木馬などの従来のペイロードは、標的と攻撃者の能力に大きく左右されるため、ペイロードに金銭的価値を当てはめるのは困難です。暗号通貨の不正マイニングは、金銭的利益が具体的な価値に直接結びついている数少ないペイロードの 1 つです。この点を踏まえて、仮想通貨の価値が攻撃者の行動を変えるのかどうか見てみます。
プロセス
一見すると、これは比較的簡単な質問のように見えますが、少し掘り下げる必要がありました。暗号通貨の価値をオンラインで調べるのは簡単ですが、何百ものコインが存在し、ほぼ毎日のように新しいコインが出現する業界をどう追跡するかの方が難しい問題でした。その答えは、過去数年間にわたって Talos が実施した幅広い調査から得られました。Talos は暗号通貨のマイニングを重点的に調査してきました。中には、数百万ドルを稼いだ複数の大規模なマイニング攻撃があり、その大半で対象となったのが暗号通貨 Monero でした。
Monero はさまざまな理由から不正マイニングの対象として好まれますが、重要なポイントが 2 つあります。第 1 に、標準的/汎用的なハードウェアで動作するように設計されていて、世界中の無防備なユーザのシステムにインストールするのにうってつけだということです。第 2 に、Monero ではプライバシーが守られます。最近判明したように、暗号通貨によってプライバシー保護のレベルは異なり、必ずしも Monero と同レベルの保護が提供されるわけではありません。以下に示すのは、2018 年以降の Monero の価格の推移です。これが調査の出発点となります。
Monero の価格は過去数年間に大きく変動しましたが、2020 年後半から 2021 年初めにかけて急騰し、6 月に下落しました。これは暗号通貨の特徴の 1 つであり、価格が頻繁に暴騰暴落します。過去の高値は暗号通貨マイニングの初期の増加と関連付けられますが、2021 年初めの急上昇に比べるとごくわずかに見えます。なお、このグラフでは 1 日の価格を平均化して見やすくしていますが、日次で見ると、実際の変動幅ははるかに大きくなっています。
次に、暗号通貨マイニングの活動量を効率的に追跡する方法を見つける必要がありました。慎重に検討した結果、ネットワークベースの検出に基づくことにしました。通常、暗号通貨マイニングはネットワーク上で暗号化されずに行われるため、検出することができます。また、活動に応じてネットワークトラフィックが生成されるため、暗号通貨マイナーがインストールされ、機能していることも確認できます。幸いなことに、Talos のネットワーク IPS/IDS は数年間前から暗号通貨マイニングを検出してきました。マイニングの検出を追跡するために、暗号通貨マイナーを対象とした SNORTⓇルールの作動率を調べました。
まず、暗号通貨マイニングが非常に普及していることが分かりました。最も少ない時期でも、暗号通貨マイニングに関連した何百万ものイベントが発生していました。また、2018 年にこの記事を書き始めてからのマイニング活動のあまりの増加に驚かされました。現在、数年前から倍増していることが確認されています。
一見すると、マイニング活動は通貨の価値にある程度左右されているように見えます。Monero が史上最高値を記録したここ数ヵ月の間に、暗号通貨マイニング活動は今までで最も活発化しました。
急騰前の 2021 年初めに短期的に価格が下落した時期を除き、マイニング活動は Monero の価格とほぼ同じように推移しています。正直なところ、この相関関係の高さはかなり意外なものでした。マイニング攻撃の準備にはかなりの時間を要し、価格が上昇したら一晩でスイッチを入れ、直ちにマイニングを開始できるとは考えにくいと思われていたからです。暗号通貨マイナーを展開している攻撃者であれば、この相関関係はまだ理解できますが、実際のデータによると、他にも多くの攻撃者が金銭を狙っています。
意味合い
このことから、サイバー犯罪者が機会に乗じて行動する傾向があることがはっきりと分かります。ほとんどの攻撃者の動機はただひとつ、金銭です。金の匂いを嗅ぎつければどこにでも行きます。
たとえば、ランサムウェアのカルテルを率いる国家容認のハッカー集団が存在します。この数年間で、ランサムウェア攻撃の被害額は指数関数的に増加しています。数年前までは、ドライブバイダウンロードとマルスパム攻撃によって 1 つのシステムごとに身代金を要求するランサムウェア攻撃が主流でした。現在では、大規模な犯罪組織が中心となって多国籍企業に身代金を要求しています。
関連するエコシステムの中で、新たな被害者がこうした金儲け集団の餌食になっているのです。これは論理にかなっており、金儲けを企む犯罪集団が、他の集団が組織に身代金を要求して莫大な利益を得ているのを見て、これに追随しているというわけです。まさに、暗号通貨マイニングで見られるのと同じパターンです。
しかしながら、暗号通貨マイニングで使用される TTP(戦術、手法、手順)はまったく異なります。攻撃者は、気付かれることなくできるだけ多くのシステムに暗号通貨マイナーをインストールできるよう、長期間にわたって検出されないことを望んでいます。標的のシステムがクリーンアップされても、リソースは別の標的に簡単に置き換えられます。Talos は長年にわたってこれらの攻撃者を調べてきましたが、その規模と実効性は攻撃によって大きく異なります。
セキュリティへの影響
暗号通貨マイナーは表面的にはそれほど深刻でないように見えますが、セキュリティへの影響が大きいことを認識する必要があります。エンドシステムに不正なソフトウェアが見つかったとしたら、決して良い兆候ではありません。今はまだ暗号通貨マイナーだとしても、最終的にはランサムウェア攻撃の最初のペイロードになる可能性があります。暗号通貨マイナーには、他のセキュリティ脅威に対応するのと同じくらいの緊急度で対処する必要があります。暗号通貨マイニングにも金銭的なリスクは複数ありますが、その多くは生産性の低下、ハードウェアの故障、電力消費に関連するものです。ただし、暗号通貨マイナーの問題が深刻化すると、こうしたコストが増大する可能性があります。ただでさえ予算が不足している状況で、予想外のコストを計上するのは困難でしょう。
暗号通貨の高騰が報道されたら、ネットワーク上のアクティビティに注意を向けてください。状況が変わっている可能性があります。同様に、新たな収益化の道が開かれた場合、攻撃者が追随することが予想されます。暗号通貨に対して大規模な取り締まりが実施されたり、価格が急落したりする場合には、脅威の状況に大きな変化が見られる可能性があります。よく話題になるのは、攻撃者は金儲けに利用できそうなニュースをどうやって物色しているのかということです。セキュリティ組織も同様に、脅威の金銭的価値に目を向けるべきです。価値が下落すれば、活動も減少するでしょう。
まとめ
圧倒的多数のサイバー攻撃者は金銭のみを動機として、最も金になる脅威や詐欺を追い求めています。これは常に事実ではあるのですが、明確な形で示すことは困難です。暗号通貨マイニングは脅威の金銭的価値を追跡する貴重な機会を与えてくれます。また、データの統合と分析を通じて、暗号通貨の価値が上がると、検出されるマイニングの量も増えることが分かりました。
金銭的な利益が攻撃の動機であることをセキュリティ部門のリーダーが明確に示すことで、自社の防御を強化できる可能性があります。攻撃者が手っ取り早く簡単に金儲けできることが明らかな脅威は、最も広まるでしょう。現在では、ランサムウェアと暗号通貨マイニングがそれにあたります。まったく異なる方法ですが、どちらにも金銭的なメリットがあります。ランサムウェアは主に企業を標的にしており、人目に付きやすく、攻撃者は標的とやり取りする手段を確立、維持する必要があります。暗号通貨マイニングは、検出を回避し、長期間にわたりアクティブな状態を維持できるように設計されています。生成できる通貨量以外、何を標的にしてもほとんど差はありません。
リーダーはさらに一歩踏み込んで、こうした状況の劇的な変化によって脅威の状況も変化することを理解する必要があります。たとえば、政府がランサムウェアのカルテルの取り締まりを開始するか、暗号通貨により厳格な態度で臨むことを決定した場合、脅威の状況は変化します。今回示したマイニングデータによると、こうした変化は短時間で起きる可能性があります。
暗号通貨マイニングは、マイニングに関連するドメインのブロック、マイニングの開始を防止するエンドシステムの制限、今回の調査のベースとなった数々のネットワークベースの検出など、さまざまな場面で検出、防止できます。シスコのセキュリティ製品を使用して暗号通貨マイニングを検出/防止する方法の詳細については、こちらのホワイトペーパーを参照してください。検出ポイントに関係なく、組織は防御に取り組む必要があります。
本稿は 2021 年 07 月 14 日に Talos Group
Tags:
