「インターネットにおける見えない危険」を列挙した愉快なリストに加えるべき、新しい項目がある。アドウェアやスパイウェアのような古くから人気の項目に新しく加わるのは、「クリプトジャッキング（Cryptojacking）」と呼ばれる巧妙な脅威だ。

これは汚染されたサイトが訪問者のパソコンやモバイルデヴァイスを密かに乗っ取り、暗号通貨の採掘（マイニング）を行うものだ。悪意ある採掘自体は新しいものではないが、ここ数週間でクリプトジャッキングの話題が爆発的に盛り上がっているのは、そこに賢い“ひねり”があるからである。

採掘のためにソフトウェアをコンピューターに忍び込ませるなら、大きなリソースが必要になるかもしれない。だが、クリプトジャッキングには必要ない。その代わりにJavaScriptを利用し、問題のあるウェブページが読み込まれ次第、ただちに作業を開始する。

ページに採掘のコンポーネントが隠されているかどうか、すぐにわかる方法はない。ブラウザのパフォーマンスに対する影響に気づきさえしないうちに、実はデヴァイス（そして電気代）がデジタルハイジャックされ、デジタルマネーを他人のために稼いでいるかもしれないのだ。

クリプトジャッキングのアイデアが動き出したのは9月中旬になる。コインハイヴ（Coinhive）という会社が、ウェブページの読み込みによって暗号通貨「モネロ（Monero）」の採掘を始められるスクリプトを初公開した。

すると、The Pirate BayというBitTorrentサイトが資金調達のためにすぐさまこれを取り込み、数週間もするとほかにもコインハイヴを模倣して採掘を始めるところが出てきた。さらにハッカーたちが「Politifact.com」や「Showtime」といったウェブサイトに所有者に知られることなくスクリプトを導入し、よそのサイトのトラフィックで採掘する方法を見つけた。

これまでのところ、問題のあるサイトのソースコードのなかに仕込まれた一連の攻撃については、ユーザーが見つけている。例えば、セキュリティ研究者のトロイ・マーシュは、クリプトジャッキングが仕掛けられたページを通ったあとに、プロセッサーのロードが急激に跳ね上がっていることに気がついた。

クリプトジャッキングから身を守る方法としては、心配なサイトやブラウザ内採掘をやっているとわかっているサイトを、ブラウザの広告ブロックツールに追加するやり方がある。また、開発者のラファエル・ケラミダスが開発した「Chrome」の「No Coin」という拡張機能は、コインハイヴの採掘をブロックするもので、ほかの採掘スクリプトの防御も追加中だ。

トラストウェーヴ（Trustwave）でマルウェアを研究しているチーム「SpiderLabs」で脅威インテリジェンスのリサーチマネージャーを務めるカール・シグラーは、「悪意あるウェブサイトが埋め込みスクリプティングを使ってマルウェアを送り込んだり、広告や特定サイトの閲覧を強制したりしていることがわかっています」と語る。「また、暗号通貨ウォレットの窃盗を狙ったマルウェアや、バックグラウンドでの採掘に絞ったマルウェアも見られるようになっています。このふたつがひとつになれば、とんでもない組み合わせになります」

新しい収益源

クリプトジャッキングの流行が単純ではないのは、適切な保護を実施すれば建設的なツールになりうる点だと、専門家らは主張する。一方でコインハイヴはずっと、この製品は各ウェブサイトが新しい収益源として使うことを意図していると主張している。

すでに一部のサイトが、災害救済のような慈善活動の資金調達に、これに似たアプローチを採用している。そして観測筋は、とりわけブラウザ内の採掘について、セキュリティ問題を抱えていることで知られるデジタル広告を補完したり、デジタル広告に置き換わったりする可能性があるものだと見なしている。

The Pirate Bayのようなアーリーアダプターは、この技術は許容するに値するのだとユーザーに売り込んでいる。The Pirate Bayは9月中旬、「広告が表示されることと、サイトを訪問するたびにCPUサイクルのほんの一部を提供すること、どちらがよいでしょうか」とユーザーに問いかけた。

このフィードバック要請に寄せられたコメントは、「広告が減るならブラウザ内採掘を支持する」というものがほとんどだったが、その中に1件、複数のサイトがこの手法を採用すれば、複数のタブを開いてウェブを閲覧することで処理リソースが枯渇するかもしれないというコメントもあった。

ユーザーの認識も同意もなく、デヴァイスが使われていることに気がついていない場合は懸念がさらに深まる。マルウェアのスキャニング企業はすでに、押しつけがましさと不透明さを理由に、こうした採掘プログラムのブロックを開始している。

コインハイヴや大量に発生した同様のサーヴィスは、マルウェアのスキャニング企業にブロックをやめてもらえるよう、誠実に物事を進めていく必要がある。例えばハードコードによる認証保護を組み入れたり、ユーザーのデヴァイスから引き出す処理能力に上限を設けたりなどの方策が考えられるだろう。

「現時点でなにもかもが少しおかしいのは、この技術が登場したばかりだからです」と語るのは、スキャニングサーヴィス「マルウェアバイツ」（Malwarebytes）の研究チーム「Malwarebytes Labs」のディレクター、アダム・クジャワだ。Malwarebytes Labsは10月中旬、コインハイヴやその他のクリプトジャッキングスクリプトのブロックを開始した。

「しかし、スクリプトベースの採掘というコンセプトそのものはいいアイデアだと実は考えています。広告収益のようなものの実用的な代替物になる可能性があるからです。それでもわれわれが現在ブロックしているのは、オプトインやオプトアウトがないからです。実際にシステムリソースの負担になっていることもあります。スクリプトがハードウェアの足を引っ張りかねません」とクジャワは語る。

岐路に立つ技術

これに対し、コインハイヴは10月中旬、製品の新ヴァージョン「AuthedMine」を発表した。AuthedMineでは、ブラウザを仮想通貨「モネロ」の発生装置にするのにユーザーから許可を得る必要がある。コインハイヴが10月16日（米国時間）に出した声明には、「AuthedMineでは、採掘を行うにはエンドユーザーからの明確なオプトインを順守しなければなりません」と書かれている。「オプトインの実装が迂回できないよう、あらゆる手を尽くしており、そうなることを約束します。AuthedMineの採掘は、ユーザーの同意がなければ決して始まりません」

この方向修正は前進ではあるが、コインハイヴの最初のスクリプトなど、すでに無数のクリプトジャッキングスクリプトがハッカーたちによって使われており、もう回収することはできない。また専門家らによると、たとえ採掘プロセスを完全に透明化したとしても、この手法にはほかにも潜在的な問題がある。

トラストウェイヴのシグラーは、「オプトインを提供しても、これで不安定化する可能性があるという問題はなくなりません」と語る。「会社でマシンが何十台も動かなくなったり、採掘の不調によって重要な仕事が失われたりしたら、組織のネットワークに深刻な影響が及びかねません」

警戒するマルウェアスキャニング企業は増えており、ハッカーたちはこの技術を、さらに巧妙で見つかりにくいものに進化させていくだろう。ほかの種類のマルウェアと同様に、攻撃者がリダイレクト戦術を使って犠牲者を悪意あるウェブサイトにバウンスするかもしれないし、JavaScriptをわかりにくくする手法を取り入れて、スキャニング業者がスクリプトによる採掘を見つけられないようにするかもしれない。

それでも、ブラウザ内採掘には積極的な可能性もあることは事実であり、この話は単純化はできないようだ。マルウェアバイツのクジャワは、「この技術がさらに進化し、人々を騙して採掘スクリプトを走らせたいウェブサイトのオーナーに悪用されないところまで、1年以内に到達することを期待しています」と語る。「けれども、悪意ある活動にしか使われないようであれば、この技術が進化してより安全になり、誰もが信頼して使うようになるまではしばらくかかるかもしません」

たくさんのウェブツールと同じく、クリプトジャッキングはイノヴェイションとしての将来性が豊富にある。そして同時に、それを喜んで悪用しようとする人もたくさんいるのだ。