2017年12月01日 20時00分 セキュリティ

ウェブサイト訪問者のPCリソースを秘密裏に借り受けてブラウザを閉じても仮想通貨をマイニングし続ける手法が見つかる

by Luca Bravo



近年猛烈な勢いで拡大を続ける仮想通貨を、ウェブサイトを訪問するユーザーの使用するコンピューターのマシンパワーで採掘(マイニング)するスクリプトが存在します。そんなスクリプトをさらに凶悪化させ、ウェブブラウザを閉じても秘密裏にユーザーのPCリソースを使って仮想通貨をマイニングし続ける手法が発見されています。



Persistent drive-by cryptomining coming to a browser near you - Malwarebytes Labs | Malwarebytes Labs

https://blog.malwarebytes.com/cybercrime/2017/11/persistent-drive-by-cryptomining-coming-to-a-browser-near-you/



Cryptocurrency Mining Scripts Now Run Even After You Close Your Browser

https://thehackernews.com/2017/11/cryptocurrency-mining-javascript.html



ナスダックが先物取引を2018年に開始とまで報じられたBitcoin(ビットコイン)のような仮想通貨は、価格の急騰によりハッカーや合法的なウェブサイト運営者すらも惑わせています。ビットコインや他の仮想通貨をマイニングするためのマシンパワーをウェブサイトの訪問者が使用しているコンピューターから借り受ける、JavaScriptベースの仮想通貨マイニングサービスが利用され始めています。



世界で最も人気の高いトレントダウンロードサイトの「The Pirate Bay」が、ブラウザベースの仮想通貨マイニングサービスであるCoinhiveを用いていることが明らかになっているように、何千ものウェブサイトがバナー広告の代わりにブラウザベースの仮想通貨マイニングサービスを用いることで収入を得ようとしています。



人気サイトがアクセス数の多さを利用し閲覧者のCPUパワーで仮想通貨マイニング、広告に代わる収入源になるか？ - GIGAZINE





しかし、こういった類いの仮想通貨マイニングサービスは、ユーザーがウェブサイトを訪問している際は仮想通貨をマイニングすることができるのですが、ブラウザのウィンドウを閉じてサイトから離脱してしまうと、マイニングのためのコンピューターリソースにアクセスできなくなってしまう、つまりはマイニング作業が止まってしまうという欠点を持っています。しかし、アンチウイルスソフトウェアを開発するMalwarebytesのセキュリティ研究者が新しく、ブラウザのウィンドウを閉じてもバックグラウンドで仮想通貨のマイニングソフトウェアを稼働し続けられる巧妙なトリックを備えたウェブサイトの存在を発見しています。



by Carlos Muza



2017年11月末にMalwarebytesが報告したウェブサイトは、タスクバーの背後に隠されたポップアンダーウィンドウを用いることで、PCのマシンパワーを使って仮想通貨のマイニングを続けます。どういうことなのかは以下のGIF画像を見れば一発でわかります。通常、ブラウザを閉じるとマイニング作業が終わるのでCPUの使用率が低下するのですが、以下のGIF画像では使用率が低下しておらず、タスクバーを持ち上げるとその後ろにポップアンダーウィンドウが隠れており、これを用いてマイニングを続けていたというわけです。





知ってしまえばとても単純な手法に思えますが、研究者たちによるとこの手法は見分けることが難しく、巧みに隠れるためほとんどの広告ブロッカーをバイパスしてしまうとのこと。仮想通貨採の掘用はAmazon Web Servers上にホストされているエンジンから実行されています。また、ポップアンダーウィンドウ上で実行されるコードは、CPU使用率から起動していることがばれないように、しきい値を中レベルに維持するように設定されているという小ざかしい一面も持っています。なお、この手法はWindows 7および10の最新バージョンで動作するGoogle Chromeの最新版で動作するようになっています。



「この種のポップアンダーはアドブロッカーをバイパスするように設計されているので、識別が非常に難しいです。『×』を押してブラウザを閉じるだけではもはや十分ではなくなってしまいました」と語るのは、Malwarebytesの主任マルウェア情報アナリストのジェローム・セグラ氏。



by Markus Spiske



セキュリティ関連ニュースメディアのThe Hacker Newsが挙げる対策方法は、タスクバーのブラウザウィンドウを探して、そこにアイコンがある場合は単にそれを閉じる、というもの。より高度な対処法としては、タスクマネージャーを起動して実行中のブラウザプロセスが残っていないことを確認することが挙げられています。



記事作成時点ではウェブブラウザ自体は仮想通貨のマイニングをブロックしていないので、アクセスするウェブページ上の仮想通貨マイニングを自動的にブロックしてくれるウイルス対策プログラムを使用するという方法もあります。または、NoCoinのようなブラウザの拡張機能を使ってマイニングをブロックする方法もあります。

