セキュリティ企業のトレンドマイクロによると、暗号通貨マイニングのJavaScriptコードによるCPUサイクルの乗っ取りがここ数日急増しているという。
理由は、YouTube などのサイトに表示される Google の DoubleClick 広告に便乗した配信キャンペーンのようです。
「1月24日にコインハイブマイナーの数が285%近く増加したことを検知しました」と、トレンドマイクロの研究員チャオイン・リウ氏とジョセフ・C・チェン氏は金曜日のブログ投稿で述べ、1月18日に5つの悪質なドメインへのトラフィックが増加したことを指摘した。「ネットワークトラフィックを詳しく調査した結果、トラフィックがダブルクリックの広告から来ていることが分かりました。」
Coinhiveは、プライバシー機能の高さからオンライン犯罪者などに人気の暗号通貨Moneroをマイニングするために設計されたJavaScriptコードです。作成者は、このコードをウェブサイトが広告に頼ることなく収益を得るための手段として位置付けています。
ステルス型ウェブ暗号通貨マイナー「Coinhive」、ブロッカーの登場で計画段階に戻る
続きを読む
問題となるのは、コードが同意なく使用されることです。そして、被害者がほとんどいない犯罪であるため、このようなケースはますます頻繁に発生しています。データが盗まれたら文句を言う人はいますが、コンピューターが秘密裏に計算を行うことを要求されても、それに気づく人はほとんどいません。
Liu氏とChen氏によると、この手口はAWS上でホストされている2つの別々のウェブマイニングスクリプトを利用しており、DoubleClick広告を表示するウェブページから呼び出される。ウェブページが読み込まれると、正規の広告が表示され、ランダムに生成された数値によって2つのマイニングスクリプトのどちらが呼び出されるかが決定される。
90 パーセントの時間、coinhive.min.js が実行され、残りの 10 パーセントの時間、mqoj_1.js というスクリプトが実行されます。このスクリプトは、30 パーセントの CoinHive 手数料を回避する手段として、別のマイニング プールに貢献するように構成されています。
少なくとも、トレンドマイクロが確認した内訳はこれです。Pastebinに投稿された亜種のコードでは、mqoj_1.jsファイルが実行されるのはわずか3%であることが示されています。
いずれにしても、スクリプトは問題のコンピューターの CPU リソースの 80 パーセントを消費するように設定されています。
Googleは、これらの広告に気付いた時点で措置を講じたと述べている。
「広告を通じた仮想通貨マイニングは、当社のポリシーに違反する比較的新しい形態の不正行為であり、当社はこれを積極的に監視しています」と、広報担当者はThe Registerへのメールで述べた。「当社は、プラットフォーム全体に多層的な検出システムを導入し、ポリシーを施行しています。このシステムは、新たな脅威の発生に応じて更新されます。今回のケースでは、広告は2時間以内にブロックされ、悪意のある行為者は速やかに当社のプラットフォームから排除されました。」
Googleが直面している問題は、システムを悪用する者が、コードの性質を隠すためのクローキング技術や、何の罰則もなく放置できる偽アカウントに頼っていることです。メールスパム業者と同様に、これはモグラ叩きのゲームです。
Googleは11月にも同様の問題に直面しました。悪意のある人物がGoogleタグマネージャーを悪用して仮想通貨の不正利用コードを配布していたことが発覚したのです。Chrome拡張機能のSafeBrowseも、モネロを収集するためにプロセッサに密かに課税していたことが確認されました。®
