サイバー犯罪者は、被害者からお金をだまし取る新しい方法を常に模索しています。
その戦術は利益を最大化してリスクを最小限に抑えるために急速に進化しています。
暗号通貨の出現は、それを実現する新しい機会となりました。暗号通貨の起源と、サイバー犯罪者がそれを利用してどのように自己の利益を増進したかを探ることで、今日の脅威の状況に対する理解を深めることができます。

FBI スクリーン ロック

多くの方は、起動時にポップアップしてコンピューターを使用不可能にする、あの悪名高い FBI ロック マルウェアを覚えていることでしょう。このマルウェアは、被害者が著作権で保護されたコンテンツを違法にダウンロードした、またはポルノを視聴したという (誤った) 主張をするものでした。

これは、頻繁に行われた成功率の高い詐欺で、各地域の「正式な」法執行機関に合わせて脅威を正当なものに見せることにより、世界中で何百万ドルもの利益を上げました。だまし取ったお金は、Ukash および MoneyPak を通じて送金されました。これらは、本質的に現地のコンビニエンス ストアで入手可能なギフト カードで、指定した金額をロードできるというものです。被害者は、カードの裏側に書かれた暗証番号を入力して、犯罪者に支払いを行います。

しかし、この集金方法は犯罪者にとってリスクがないわけではありません。多数の被害者が警察に届け出れば、警察は捜査を開始して犯人を見つけ出そうとします (このように注目されることを犯罪者は避けたいと思っています)。

 

ビットコインとシルク ロード

Ukash と MoneyPack を使用した詐欺は現在も頻繁に行われていますが、他にも、よく名の知れた「シルク ロード」という匿名の闇市場が支払いシステムとしてビットコインを新たに使用していました。

シルク ロードは、本質的に暗号化されたダーク Web 上の闇市場で、ほとんどの国において他の場所では違法な、または極めて購入困難な商品に利用されていました。このサイトの買い手と売り手は実質的に相互に匿名性を維持でき、追跡もほぼ不可能でした。この市場は長年、繁栄し、取引システムとしてのビットコインの有効性を証明するものとなっていました。その成功は 2013 年に FBI がシルク ロードを差し押さえ、その設立者を逮捕したことで、突如、終焉を迎えました。

この閉鎖によりビットコインの市価は一時的に暴落しましたが、その後すぐに取り
戻し、シルク ロード時代の最高値を超えるまでになりました。

では、この大転換は何によって引き起こされたのでしょうか。

 

CryptoLocker の出現

最初の Cryptolocker ランサムウェアは、2013 年 9 月下旬に出現しました。これは犯罪者のビジネス モデルに合致し、即座に拡大しました。まもなく、多くの種類の Cryptolocker が世界中のユーザーを感染するようになりました。初期の Cryptolocker では、その頃まだ広く使用されていた Ukash と MoneyPak が少し手法を変えて支払いに使用されていました。Cryptolocker はビットコインでの支払いに対し割引を提供していました。これは、暗号通貨がサイバー犯罪者から優遇されるという点で、ある意味、画期的なことでした。ランサムウェアが急速に最大の脅威と化するに従い、ビットコインも次第に多く支払いに使用されるようになり、不換通貨としての地位が確立されることとなりました。

 

ビットコインはほんとに匿名か?

ビットコインは真に匿名とはいえません。ビットコインの取引はすべて公開台帳に記録されるため、誰でもダウンロードして分析することが可能です。被害者が身代金を支払う際は、支払先となるビットコイン アドレスを知らされます。このアドレスとの間の取引はすべて可視化されています。皮肉にも、これが多くのランサムウェア キャンペーンの成功度を測る基準にもなっています。

犯罪者がビットコインを現金化する場合、通常は個人を特定できる情報を使用する取引所を利用する必要があります。そのため、犯罪者が注意を怠ると、被害者のビットコイン ウォレット アドレスから、犯罪者の取引所ウォレット アドレスを追跡できる可能性があります。その場合、法執行機関はその取引所を召喚して犯罪者を特定することができます。しかし、犯罪者は多くの場合、「現金化」アドレスにフラグが付けられないようにする戦術で、このような状況発生を防止しています。

 

一時は、コインを洗浄するために、ダーク Web で広く使用可能なビットコイン「ミキサー」が提供されていました。この方法では、さまざまな額の「汚れた」コインを異なるアドレスに分配して送金した後、別のアドレスに送ることで「洗浄」する、マネー ロンダリング同様のプロセスを実行するアルゴリズムが使用されました。しかし、このプロセスは 100% 確実でもなければ、永遠に使えるものでもありませんでした。暗号通貨が広く正当に使用されるようになると、詐欺活動に使用されるビットコイン ブロックチェーン取引を検出するためにいくつかのプロジェクトが開始されました。Chainalysis はその 1 例です。

 

ランサムウェアが複数の暗号通貨を利用

2014 年春、新しい暗号通貨が出現しました。ビットコインに代わって現れたモネロと呼ばれるこの暗号通貨には、分析される可能性のある公開台帳がありませんでした。
そのため、犯罪者による利用が急速に増加し、現在でも最も有効な支払いシステムとして利用されています。リング署名という画期的な方式を使用して取引元を隠し、追跡ができないようにします。犯罪者はモネロ ウォレット アドレスに支払いを受け取り次第、取引先のアドレスに送金して現金化でき、洗浄の必要もありません。

 

モネロは 2016 年後半に犯罪者によって「主流」通貨として採用されました。この時期には、一定のランサムウェアの支払いに、ビットコインやイーサリアム、モネロ、リップル、ジーキャッシュなど、複数の暗号通貨が受け入れられていました。

 

クリプトジャッキングの出現

モネロはプライベートであるという理由から犯罪者にとって有用であることが実証されました。また、ASIC 抵抗を維持するプルーフオブワーク採掘システムも搭載されています。大半の暗号通貨は、プルーフオブワーク システムを利用していますが、その採掘に使用されるアルゴリズムは、平均的なパーソナル コンピューターよりも大幅に効率的にそのアルゴリズムをハッシュするように設計された特定のチップ (ASIC) によって実行できます。

その意味では、モネロは、常に ASIC 抵抗を維持するためにアルゴリズムを継続的に変更する開発チームとともにニッチ市場を切り開いたといえます。これは、モネロが消費者グレードの CPU による採掘で利益を上げられることを意味するため、犯罪者の間ではシステムにマルウェアを一度も配信することなく一稼ぎできる手口が多く実行されるきっかけとなりました。この新しい脅威は「クリプトジャッキング」と呼ばれ、CoinHive社が 2017 年 9 月に JavaScript コードの採掘に初めて実行して以来、勢いを増しました。

暗号採掘スクリプトの元来の目的は、CoinHive 社の説明のとおり、訪問者の CPU がサイト所有者のためにモネロを採掘できるようにして、サイトのコンテンツを収益化することです。しかしこれは、相手に何の被害も与えないわけではありません。ユーザーはやはり CPU 使用の責任を負い、これは電気代の請求という形で起こります。これは一個人に対する額は顕著ではないかもしれませんが、暗号通貨の採掘はサイト所有者にとっては、たちまち高額となります。CoinHive 社のWeb サイトはこれを広告に代わる収益源とうたっていますが、脅威の実行者がこの戦術を悪用することで被害者が犠牲となっていることは明らかです。

このポルトガルの衣料品の Web サイトを閲覧すると CPU 使用量が 100% に急上昇し、ブラウザの処理に最大の CPU 処理能力が使用されることがわかります。より新しいコンピューターを使用していて、Web サイトのブラウズ以外の作業をほとんど実行していない場合は、このような急上昇にも気づかない可能性があります。


しかし、遅いコンピューターでは、サイトを移動するだけでも著しい速度の低下が起こります。

サイバー犯罪者が脆弱な Web サイトを利用してマルウェアをホストすることは以前からありましたが、JavaScript をサイトにインジェクトしてモネロを採掘するというのは新しい手口です。CoinHive 社は、オプトインすることが「必須」であるため、スクリプトをブロックする必要はないと主張しています。残念ながら、侵害を受けたサイトの評価を当社が行ったところ何らかの条件がプロンプト表示されることはほとんどなかったため、犯罪者らはこのオプトインを抑制または迂回する方法を見いだしたものと思われます。CoinHive 社は採掘による収益の 30% を受け取るため、スクリプトがどのように使用されるか、あるいは悪用されても、あまり気にかけることはないものと思われます。

 

クリプトジャッキングが 2018 年最大の脅威に

ハイジャックされた Web サイトを介したクリプトジャッキングは出現から 1 年と経たないうちに、ランサムウェアを押さえ、最も多くのデバイスに影響を及ぼす最大の脅威となっています。そもそも、ランサムウェアでは、犯罪者がフィッシングとエクスプロイト、RDP キャンペーンに成功してペイロードを配信し、インストールされたセキュリティを打ち破り、ファイルをうまく暗号化したうえで、暗号化キーを送信してサーバーの命令と制御を確保する必要があり、しかもこれらすべてをミスを犯すことなく実行しなければなりません。さらにその後も、ファイルを復号化する前に、ビットコインを購入して送金するのをサポートする必要があります。これは極めて労働集約型のプロセスであり、追跡されないようにするために足跡を消さなければなりません。

犯罪者にとって、クリプトジャッキングはランサムウェアよりもはるかに簡単に実行できる手法です。彼らは自らの所有下にないドメインに数行のコードを流し込み、その Web ページを訪れる被害者を待ち伏せするだけです。こうして採掘された暗号通貨はすべて直接犯罪者の懐に入り、モネロならではのクリーンさをすでに備えています。

だからこそ、2018 年中クリプトジャッキングが優勢なサイバー攻撃手法となることを覚悟しなければならないのです。2018 年度版ウェブルート脅威レポートには、クリプトジャッキングを含む今日のサイバー脅威に関する詳細な分析を掲載していますのでぜひご覧ください。

 

Webroot Japan

About the Author

Webroot Japan

Webroot Japan

ウェブルートブログは企業や個人ユーザーのサイバーセキュリティ対策に役立つな最新の脅威インテリジェンスやサイバー脅威の対策など様々な情報をお届けさせていただきます。

Facebook Comments Box