テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

クリプトマイニングマルウェア:倉庫内で暗号通貨ファームを発見

Justin Fier, Director of Cyber Intelligence & Analytics | 2021年4月8日木曜日

暗号通貨は毎週のようにニュースで報じられ、一般的な投資と支払いの方法として急速に受け入れられつつあります。世界のあらゆるところで、サイバー犯罪者達はクリプトマイニング「ファーム」と呼ばれるデータセンターでこのトレンドから利益を得ようとしています。それは中国からアイスランド、イラン、そして空の倉庫に置かれた段ボール箱でも発生しています。

クリプトマイニングの仕組みは?

暗号通貨は分散型のデジタル通貨です。中央銀行がいつでも発行できる通常の通貨とは異なり、暗号通貨はいかなる中央の機関によっても管理されていません。その代わりに、取引のデジタル台帳として機能するブロックチェーンを使用し、ピアツーピアのネットワークにより組織され維持されています。

採掘者達は暗号化アルゴリズムを解くことにより暗号通貨を作成し保存します。ハンマーやノミの代わりに、暗号通貨の採掘者達はトランザクションを可能な限り高速にバリデートし暗号通貨を獲得するためのGPUやASICを搭載した特殊なコンピューターを使用します。

2021年におけるクリプトマイニングファーム:早期収穫

クリプトマイニングは膨大なエネルギーを消費します。ケンブリッジ大学 による分析によれば、Bitcoin の生成には一国の消費するエネルギー以上が消費されていると考えられます。たとえば、Bitcoin は年間約137.9テラワット時を使用しますが、同じ期間にたとえばウクライナは128.8テラワット時しか使用していません。BitcoinはMoneroやDogecoinなどを含む多くの暗号通貨の1つにすぎず、すべての暗号通貨によって消費されるエネルギー量は格段に大きいものになります。

高性能なマイニング用コンピューターが非常に大きな電力を必要とすることを考えると、クリプトマイニングは比較的電力の安い国で利益が大きいということになります。しかし、大きなエネルギーを必要とすることで深刻な事態を招くこともあり、場合によっては都市全体が停電することもあり得ます。イランでは、古い電力グリッドが多数のクリプトマイニングファームに無理に電力を供給しようとして都市全体の停電に繋がったこともあります。

こうしたクリプトマイニングファームには合法なものもありますが、不法なクリプトマイニングによってイランのエネルギー供給に負担がかかっています。イランで不法なクリプトマイニングに人気がある背景としては、イランの通貨の変動が激しくインフレーションの恐れがある一方、暗号通貨は(今のところ)インフレを誘発する通貨政策や米国の制裁に対して耐性があるということもあります。不法な目的で使用されると、クリプトマイニングはネットワークのダウンや深刻な金銭的損害につながります。

コーポレートネットワーク内のクリプトマイニングマルウェア

クリプトマイニングマルウェアは、放っておくと組織のデジタル環境に障害となりクラッシュさせる可能性もあります。Cyber AIは何百ものクリプトマイニング攻撃を阻止していますが、次のようなデバイスがクリプトマイニングマルウェアに感染していました:

  • 生体認証ドアの開閉を制御するサーバー
  • スペクトロメーター(光の波長を使って材料を分析する医療用IoTデバイス)
  • イタリアの銀行の床板の下に隠された12台のサーバー

昨年のとある事例では、Darktraceはコーポレートシステム上で異常なクリプトマイニングアクティビティを検知しました。調査の結果、異常なアクティビティが倉庫の1つで発生していることを突き止め、そこで棚の上に何の変哲もない段ボール箱を見つけました。箱を開けると、社内の電力網を使用したクリプトマイニングファームが現れたのです。

図1:何の変哲もない箱

図2:クリプトマイニングファーム

図3:脅威アクター達は社内のネットワークの電力で動作するGPUを使った隠れたクリプトマイニング装置を作成

これが発見されないままであれば、クリプトマイニングファームは会社に対する金銭的損失や業務の中断につながっていたかもしれません。また、クリプトマイニング装置は大きな熱も発生させるため、倉庫の火災にもつながりかねませんでした。

この事例は、個人が機に乗じてクリプトマイニングマルウェアにより社内インフラを悪用する隠れた手法と、デジタルエステート全体をカバーし新しいあるいは通常と異なるイベントをすべて検知できるセキュリティツールの必要性を示しています。Darktraceの機械学習 は倉庫にあった箱からの接続の異常性が高いことを警告し、この予期せぬ発見につながりました。

Antigena を有効に設定している組織であれば、異常なクリプトマイニングデバイスは外部エンドポイントとの通信をブロックされ、結果的にマイニングのアクティビティを抑止していたはずです。Antigenaはデジタル環境全体に「生活パターン」を強制する対応をとることもでき、悪意ある動作を阻止しながら、通常の業務は続けさせることができます。脅威アクターがますます増え、ハッカー達がクリプトマイニングマルウェアを展開する新たな方法を考案していくなかで、Darktraceの提供するデジタル環境のあらゆる部分に対する完全な可視性と自動対処はこれまでになく重要なものとなります。

考察を提供してくれたDarktraceアナリストChloe Phillips氏に感謝します。

Darktrace によるモデル検知結果:

  • Compliance / Crypto Currency Mining Activity
  • Compromise / High Priority Crypto Currency Mining
  • Compromise / Monero Mining
  • Anomalous Connection / Rare External SSL Self-Signed
  • Compromise / HTTP Beaconing to Rare Destination
  • Compromise / POS and Beacon to Rare External
  • Compromise / Slow Beaconing Activity to External Rare
  • Compromise / SSL Beaconing to Rare Destination
  • Compromise / Sustained TCP Beaconing Activity to Rare Endpoint
  • Anomalous Connection / Multiple Failed Connections to Rare Destination
  • Compromise / Sustained SSL or HTTP Increase
  • Anomalous Connection / Connection to New TCP Port
  • Anomalous Connection / Connection to New UDP Port
  • Compromise / Multiple UDP Connections to Rare External Hosts
  • Compromise / SSL or HTTP Beacon
  • Compromise / Quick and Regular HTTP Beaconing
  • Device / Suspicious domains
  • Compromise / Suspicious Beacons to Rare PHP Endpoint
  • Anomalous File / Script from Rare
  • Anomalous Connection / New failed External Windows Connection
  • Device / New Failed External Connection
  • Anomalous Connection / POST to PHP on New External Host

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of Director for Cyber Intelligence & Analytics at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.