サイバー攻撃の標的は仮想通貨へ？　コインマイナー拡散サイトが約875倍に増加

　トレンドマイクロ株式会社は、2017年第3四半期における国内外のインターネットセキュリティ動向を分析した報告書を公開した。これによると、仮想通貨発掘ツール（コインマイナー）拡散目的の攻撃が国内で急増していることが分かった。従来の不正プログラムを改造してマイニング機能を追加し、ウェブサイトで配布してマイニングの対価を得ようとするものだ。

　日本からアクセスがあったことが確認されている脆弱性攻撃サイト（EKサイト）では、コインマイナーを拡散させるEKサイトが5月以降に急増していることが判明。2017年第3四半期における国内でのコインマイナーの検出台数は8460件に上っており、前四半期から約7倍に増加している。日本における検出台数は、世界的にコインマイナーの拡散が確認された2012年以降、過去最大だそうだ。

日本におけるコインマイナーの検出台数推移

日本からアクセスのあったEKサイトの全体数とコインマイナーを拡散するEKサイト数の推移

　コインマイナーを国内で拡散するサイトは第3四半期合計で1749件に上り、前四半期から約12倍、第1四半期からだと約875倍の増加となる。また、9月にはEKサイトから拡散される不正プログラム種別の中で、コインマイナーが58％と最多を占める結果も出ている。

国内からアクセスされたEKサイトの拡散不正プログラム種別割合（2017年9月）

　コインマイナー拡散目的の攻撃が増えた理由として、トレンドマイクロは仮想通貨価格の高騰を挙げる。仮想通貨の価格が上がることで、1攻撃あたりの利益が増えるため、「効率の良い稼ぎになる」という。ランサムウェアなどの不正プログラムに比べると、コインマイナー自体は直接的な金銭被害を与えないが、攻撃者の収入源となること、発掘だけにとどまらない攻撃に繋がる危険性があるとして警告している。

　仮想通貨取引所の認証情報を狙うオンライン銀行詐欺ツール（バンキングトロジャン）やランサムウェアによるビットコインウォレット情報の窃取活動のように、既存の攻撃が直接的に仮想通貨を狙う変化も起こっている。

　例えば、暗号化型ランサムウェア「CERBER」は、新機能を追加しながら改変を繰り返しており、2017年第3四半期には仮想通貨を標的にする機能を備えた亜種が確認された。これはメールの添付ファイルを介して感染するもので、主に「Bitcoin Core」「Electrum」「Multibit」を狙い、各ソフトに関連付けられたファイルを窃取する。さらに、ウォレットの保護パスワードを入手するために、Internet Explorer（IE）、Google Chrome、Mozilla Firefoxに保存されたパスワードも収集する。

ランサムウェア「WannaCry」や脆弱性「Dirty Cow」を突いた攻撃に注意

　ランサムウェア「WannaCry」は、5月以降に月3万台のペースで継続的に検出されており、全世界で検出された不正プログラムの中でもトップの検出台数となっている。また、暗号化型ランサムウェア「LOCKY」の亜種を拡散する大規模なスパムメール送信活動も2回確認されている。1回目は主に日本、中国、米国のユーザーを狙ったもので、合計29万8000件のスパムメールを検出。2回目も日本、中国、米国をはじめ、75カ国以上に送信され、28件4000件のスパムメールを検出した。スパムメールの送信元IPアドレスの大多数がインド、ベトナム、イランで、そのほか、185カ国が関与していることが分かった。

全世界におけるランサムウェア「WannaCry」の検出台数月別推移（2017年）

「LOCKY」の亜種を拡散するスパムメール送信先の国別割合（1回目）

「LOCKY」の亜種を拡散するスパムメール送信先の国別割合（2回目）

　既知の脆弱性「SambaCry」「Dirty Cow」を利用したIoT機器やモバイルデバイスを狙う攻撃も確認された。IoTマルウェア「Mirai」以降、IoT機器に対する脆弱性攻撃は攻撃者の常とう手段となっており、いったん攻撃方法が確認された脆弱性はその後も継続して攻撃対象となっている。トレンドマイクロは、「今後のIoTの発展を考えた場合、遅れることなく脆弱性対策を進めていける仕組み作りが最重要課題になる」としている。