2018年3月6日

2018年3月6日

2018年3月6日(火) 

仮想通貨におけるマイニングとサイバーセキュリティ

 株式会社インターネットイニシアティブ
 セキュリティ本部セキュリティビジネス推進部
 セキュリティオペレーションセンター センター長  野間 祐介

 
 
1 はじめに
 世間では仮想通貨が大きく話題になっています。本稿を執筆している2018年1月上旬現在でも、仮想通貨は乱高下しつつも全体的に上昇傾向にあり、またメディアでも日常的に取り上げられているなど継続的に注目されています。一般的に仮想通貨は、人や取引所との売買の他、マイニング(採掘)という行為により入手が可能です。マイニングに関する技術詳細は省略しますが、自宅のPCを活用する小規模なものから多数のサーバを活用する大規模なものまで、様々な形で行われています。共通して言えることは、マイニングを行う場合、そのコンピュータの計算能力を大きく消費するということです。しかし最近、このマイニングを他人の環境で実施させる事例が確認されており、サイバーセキュリティ上のリスクとして認知されつつあります。一部メディアの報道ではそれら行為は総じて脆弱性を突く攻撃であり悪である、という論調が見られますが、必ずしもそうとは限らない事例もあります。本稿では、現在確認されている主な事例とそこに存在するセキュリティ上のリスクを考察したいと思います。
 
1.1 ホームページ管理者がマイニングスクリプトを埋め込む事例
 ホームページ管理者が意図的にマイニングスクリプトを埋め込んだコンテンツを作成することで、閲覧者にマイニング行為をさせることができます。それにより、閲覧者のコンピュータリソースを閲覧中のみ使用します。一般的にどの程度の処理能力を使用するかは、ほぼ気づかないあるいは若干処理が重くなった程度から、他の処理が実行できなくなるくらいの負荷を掛けることまで、ホームページ管理者側で設定が可能です。この事例は、ホームページ管理者が閲覧者にマイニングさせることで、新たな収入源を得ることができると言えます。一方で閲覧者への同意の取り方などについて、適切な方法に関する議論がされている段階です。しかしながら、こうした行為そのものに否定的な見解が多いようです。
 

 
1.2 第三者がホームページを改ざんしマイニングスクリプトを埋め込む事例
 ホームページにマイニングスクリプトが埋め込まれ、それを閲覧者に実行させるところまでは項1.1と同様ですが、それがホームページ管理者の意図したものではなく、攻撃者によるものである点が異なります。改ざんは不正アクセスなどの違法行為を伴って行われている可能性が高く、その他どのような悪性コードが埋め込まれているかわからないという点でもこの行為はホームページ管理者にも閲覧者にも悪影響を与えると判断できます。
 

 
1.3 ブラウザの拡張機能にマイニングスクリプトが仕込まれる事例
 特定ブラウザの拡張機能にマイニングスクリプトが仕込まれている事例です。利用者からの同意取得の有無がどうなっているかの問題もありますが、現時点では利用者に断りなく行われている場合が多く、同意を取らずにマイニングさせる行為は不適切と判断すべきでしょう。
 
1.4 マイニングマルウェア
 マイニング行為を行うマルウェアで、感染端末のリソースを無断で活用しマイニングを実施します。マルウェアの定義から、最もリスクがあると言えます。
 
 項1.2~1.4はセキュリティ上のリスクとして積極的に回避すべき事案ですが、項1.1は適切な情報開示がなされ、マイニングの許可の意思を示すことができるならば、最終的にはユーザの判断に委ねられる問題であると考えられます。
 
2 まとめ
 当事例に限らず、新しい技術は様々な形で活用されていく半面、悪用することにより新たなサイバーセキュリティ上のリスクとなりうる可能性があります。技術自体が不正ではないことに留意し、リスクをただ恐れるのではなく、その本質を理解し適切にヘッジする事が重要です。当記事が、そのご参考の一つとなれば幸いです。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。