米国のテレビ大手CBSのショータイムのウェブサイトには、週末に視聴者のウェブブラウザを秘密裏に乗っ取り、暗号通貨を採掘するJavaScriptが含まれていた。
主力サイトであるShowtime.comとそのインスタントアクセスサイトであるShowtimeAnytime.comは、ブラウザのCPU使用率を浪費させるコードを密かに導入していました。このコードは、常に人気のビットコインに代わるプライバシー重視の代替通貨であるMoneroの計算に使われていました。この隠されたソフトウェアは、サイトにアクセスするコンピューターのCPU能力を最大60%も消費していました。
これらのスクリプトは、ウェブサイト所有者にJavaScriptを提供する正規の組織であるCode Hiveによって作成されました。ウェブマスターは、収益を得るために広告を掲載する代わりに、これらのコードをページに追加することで、訪問者からわずかな収益を得ることができます。時間の経過とともに、Code Hiveがホストするスクリプトによってマイニングされた資金は蓄積され、Coin Hiveからサイト管理者に送金されます。1モネロコイン(1XMR)は現在約92ドルの価値があります。
しかし、CBS のような大企業が、自社のドットコム ネットワークにそのようなマイニング コードを密かに持ち込む可能性は極めて低い (特に、人気テレビ番組のオンライン視聴に料金を課している企業)。つまり、誰かが Web サイトのソース コードをハッキングしてマイニング JavaScript を挿入し、手っ取り早く金を儲けた可能性がある。
週末の初めにサイトに現れ、月曜日までに消えたJavaScriptは、ウェブ解析会社New Relicからの挿入と思われるHTMLコメントタグの間に埋め込まれています。繰り返しになりますが、解析会社が顧客のページに意図的に仮想通貨マイニングスクリプトを仕込むとは考えにくいため、このコードは別のソースから来たか、Showtimeのシステムに侵入した悪意のある人物によって挿入されたと考えられます。
これは、削除される前にEl Reg氏が確認したshowtime.comのコードのスクリーンショットです。マイニングスクリプトはページの早い段階で読み込まれていたことが分かります。
クリックして拡大
そしてShowtime Anytimeでは:
クリックして拡大
本日、ShowtimeとNew Relicの両社に連絡を取り、詳細を尋ねました。Showtimeはコメントを拒否しました。New Relicは、謎のコードとは一切関係がないと述べました。
「当社はブラウザエージェントのセキュリティを非常に重視しており、開発および展開パイプラインのさまざまなポイントでスクリプトの悪意のある変更や不正な変更を検出するための複数の制御を導入しています」とNew RelicのAndrew Schmitt氏は語った。
弊社の製品とコードを調査したところ、スクリーンショットに表示されているNew Relicを参照するHTMLコメントは、New Relicのエージェントによって挿入されたものではありません。開発者によってウェブサイトに追加されたようです。
また、Code Hiveに対し、注入されたコードがマイニングしていたユーザーアカウントの詳細についても問い合わせた。「プライバシー規約に基づき、アカウント所有者に関する具体的な情報は提供できません」と回答した。「そもそも、これらのキーや、それらが属するユーザーについてはあまり詳しく把握していません」
しかし、この組織は、アカウントを設定するために使用された電子メールアドレスが個人のものであり、CBSの公式電子メールアドレスではなかったことを確認しており、悪意のある活動があったことをさらに示唆しています。
パイレーツベイ
コインハイブのマイニングコードは先週、ファイル共有検索エンジン「パイレートベイ」が、サイトから広告をなくすための収益性をテストするためにコインを集めるJavaScriptをページに追加したことを認めたことで、注目を集めた。
コードの設定が不適切だったため(ウェブ管理者はハッシュレートを設定できる)、ユーザーのマシンの速度が極端に低下し、苦情が殺到しました。抗議を受けて、パイレート・ベイはマイニングスクリプトの存在を認め、「単なるテスト」と呼び、CPU使用率を制限して煩わしさを軽減することを約束しました。数日後、パイレート・ベイはマイニングスクリプトの導入を完全に断念しました。
パイレート・ベイが新たな落とし穴を掘る:スラーパーブラウザでアルトコインをマイニング
続きを読む
Code Hiveはページ内マイニングだけでなく、URL短縮サービスやCAPTCHAを介したマイニングも提供しています。このコードを使用するウェブサイト運営者にとって大きなメリットは、スクリプトが他者のCPUパワーだけでなく電力も消費することです。つまり、ほとんど労力をかけずに収益を得ることができるのです。ただし、訪問者を煩わせる覚悟が必要です。
Coin Hive の売り文句は、このスクリプトにより、パブリッシャーが迷惑な広告を自社の Web サイトから削除できるようになるというもので、これはブラウザーによる広告ブロックが進むにつれて、さらに重要になる可能性がある。
しかし、このコードはすでにブラウザ拡張機能やタイポスクワッティングされたウェブサイトに挿入されています。そして今、誰かがShowtimeのウェブサイトをハッキングし、コードを挿入してウェブサイト自体に直接影響を与えることなく金銭を得ようとした可能性があります。
Coin Hiveがハッカーやマルウェア作成者のツールではなく、正当なツールとして認識されたいのであれば、大規模ウェブサイト向けのより優れた認証システムを迅速に構築し、詐欺師にとって魅力の低い存在となるよう努める必要があるだろう。一方、広告ブロックツールはJavaScriptを即座にブロックするようになっている。®
この謎を私たちに教えてくれた Troy Mursch 氏に感謝します。
