昨年末にかけてビットコインの価格が急騰し、今なお乱高下を続けている。ビットコインのような暗号資産（仮想通貨）価値の上昇に比例して増加するサイバー攻撃がある。他人のコンピューターを利用して暗号資産の発掘を試みるクリプトジャッキングという攻撃だ。

■クリプトジャッキングとは?

　クリプトジャッキングとは、他人のコンピューターリソースを利用して「無断で暗号資産を発掘する」サイバー攻撃。クリプトジャッキングの手段は大きく分けて3つ存在する。

・ウェブブラウザを利用する方法

　　Webページの中にマイニングを行うためのスクリプトを埋め込んでおき、そのページに訪れた訪問者のデバイスの能力を「無断で利用して暗号資産のマイニングを行う」。

　　この種の方法ではコインハイブというマイニングスクリプトが知られている。

・パソコン等のデバイスにインストールする方法

　　トロイの木馬として他人のパソコンやスマホに入り込み、それがバックグラウンドで動作することによってマイニングを行うもの。

・IaaSの仮想インスタンスを無断利用する方法

　　AWSやAzure、GCPといったIaaSのアカウントを不正に利用し、マイニング用の仮想インスタンスを無断で作成し、マイニングを行う行為。

■クリプトジャッキングによる被害

　クリプトジャッキングは、膨大なCPUリソースと電力を消費する。そのため訪問サイトにマイニングスクリプトが埋め込まれていたりすると、スマートフォンのバッテリー消費が早くなる等の被害にあう。

　大きな問題となるのが「IaaSの仮想インスタンスを無断で利用された場合」だ。このケースは個人情報等が流出するわけではないこともあり、被害にあった企業が公表しないため、殆どニュース等で見かけることはないが、IaaS利用企業ではこの被害にあっている企業は日本国内にも多数存在している。

　「IaaSの仮想インスタンスを無断で利用」されると、膨大なマイニングが行われ「IaaSの利用料の請求が数百万円」に達したという国内企業も存在する。　

■2017年から攻撃が増加

　ビットコインが初めて2万ドルを超え注目を集めた2017年。クリプトジャッキングの攻撃も注目を集め2017年9月から2019年3月までにかけて、当時最も一般的なサイバー攻撃の1つだった。当時のセキュリティレポートでは、「これからはランサムウェアからクリプトジャッキングにサイバー攻撃がシフトする」といったレポートも出ていたほどであった。

　しかし、当時のクリプトジャッキングに用いられていたコインハイブが2019年3月に終了したことに伴い、ウェブブラウザを利用するクリプトジャッキングの攻撃は減少傾向となった。

■進化するクリプトジャッキング

　クリプトジャッキング黎明期には、ウェブブラウザを利用した攻撃が主流でっあったが、最近は常時電源がオンになっているIoT機器や、無限に利用可能なコンピューターリソースがあるIaaSが標的となる事例が増えている。

・IaaS上のコンテナを狙う攻撃

　IaaSは無限に利用可能なコンピューターリソースを利用可能な場所であり、サイバー攻撃者にとって「魅力的な採掘場」だ。

　そして、通常、Dockerコンテナはセキュリティ製品による検査を受けない。この性質を利用してサイバー攻撃者はGraboidと呼ばれる悪意のある悪意のあるイメージをDocker Hubに送り込み、クリプトジャッキングに利用する行為が観測されている。

・IoT機器を狙う攻撃

　IoTデバイスは常時インターネットに接続されており、電源も常時オンになっていることが多いためクリプトジャッキングの標的になりやすい。ADB（Android Debugging Bridge）を使い、Androidを搭載したIoT（Internet of Things）が標的にされるケースが増えている。

・脆弱性のあるCMSを狙った攻撃

　Drupalが動作するWebサイトに影響のあるCVE-2018-7600を利用して悪意のあるスクリプトを配信する攻撃や、Oracle WebLogicの脆弱性、CVE-2017-10271とCVE-2019-2725を悪用する攻撃が確認されている。

■電気利用料が発生しない大学キャンパス等での「無断マイニング」

　クリプトジャッキングを仕掛けてくるのは「サイバー攻撃者」とは限らない。電気代の負担が発生しないような環境で、ちょっとした出来心で「無断でマイニング」を行っていると考えられるデータもある。

　シスコ社が2019年に発表した「暗号資産のマイニングが行われている場所」の調査では、2位に「大学キャンパス」が挙げられていた。シスコ社の見解によれば「電気代のかからない大学のキャンパスで学生がマイニングをしているのでは?」と推測している。

　1ビットコインの価値が300万円を超え、到底大学生が簡単に購入出来る金額ではない。電気代のかからない大学キャンパスでちょっとした「出来心」で「無断でマイニングをしてみよう」と考える学生が現れるのは不思議ではない。

　「無断マイニング」を行っていると思われるような不審なトラフィックの監視と警戒を強めるべきだろう。

■クリプトジャッキングから企業を守るには

　クリプトジャッキングは昨年猛威を奮ったランサムウェアとは違った形で企業に影響を与える。IaaS等のインスタンスを無断利用された場合には「直接的に金銭的被害を受ける」のが大きな特徴だ。

　暗号資産の価値高騰に伴い攻撃増加が予想されるので、企業としては以下のような視点での対策強化を推奨する。

・不審なトラフィックの監視

　クリプトジャッキングに利用されるドメインへのアクセスが頻発していないかを確認する。最近のSWG等はこういった種類のトラフィックを監視出来るものがあるので、そういったツールを導入し不審なトラフィックの監視、ブロックを行う。

・IaaSプラットフォームでの課金制限

　Amazon EC2、Microsoft AzureなどのIaaS上でリソース利用の上限を設定可能であれば設定する。

・CSPMの導入

　IaaSを保護するCSPM等のツールを導入すると悪意のあるコンテナイメージ等を検出可能なソリューションが存在する。また、CSPMを導入していればIaaSの管理コンソール等への不正アクセスを検出出来る。