business-and-technology

Cyber Threat Allianceのメンバーがクリプトマイニングに関する初の共同レポートを発表

Cyber Threat Alliance

セキュリティベンダー間の競争は、サイバー犯罪者の一歩先を進み続けるために不可欠な要素です。収益が重要であることは当然ですが、市場シェアと顧客をめぐる競争は、セキュリティベンダーが絶えず技術を進歩させ続ける原動力にもなります。いずれかのベンダーが次世代のファイアウォールサンドボックスを発明したり、機械学習やAIを追加するなどの躍進を成し遂げると、すぐに他社もその技術の改良版を提供するようになり、その繰り返しによって改良が重ねられていきます。

また、ほとんどの主要セキュリティベンダーは、脅威の収集、相関、解体、対策に関わるチームと技術に巨額の投資をしてきました。これらのチームは多くの場合、世界中に散らばる数千からときには数百万にも及ぶ自デバイスから生の脅威インテリジェンスを収集します。これらの脅威調査エンジニアは、脅威の傾向とサイバー犯罪者コミュニティの戦術を理解するために、高度な技術の開発も行い、ときにはそれに煩雑で実践的なリバースエンジニアリングおよび分析を組み合わせて使用します。それによって得られた情報は、顧客を生の脅威から守り続けるために、顧客のデバイスに直接ロードされます。


Cyber Threat Alliance (CTA)

これらは誰もが目にすることのできるセキュリティ市場の一つの側面です。それは、第三者による分析や格付けなどを促進し、ベンダーもエンドユーザーも同様にセキュリティ会議や展示会へと駆り立てます。しかし、セキュリティコミュニティの中には多くの人に知られていない部分もあり、それはサイバー犯罪との戦いにおいて他と同様に重要なものです。

その多くの人に知られていないこととは、脅威調査チームは、彼らが費やしている時間と労力にもかかわらず、すべてを独力で成し遂げることはできないという事実です。毎日世の中に送り出される脅威をすべて収集して対処するためのリソースやスタッフや時間が十分であることは決してありません。したがって、これらのチームも自社のデータを増強するために、各社の脅威インテリジェンスフィードを互いに購読しています。それでも、問題の一部しか解決できません。

それこそが、フォーティネットが数年前に複数の主要な競合他社と協力してCyber Threat Alliance(CTA)を立ち上げた理由です。CTAは、国際社会が直面している難しい脅威に対処するために技術リソースを共有する場となるフォーラムとして発足しました。CTAはつい最近、さらに多くの主要セキュリティベンダーが創立メンバーとして加わって、より中立的で優れた企業間コラボレーションの場を設けるために、公式に独立組織として設立されました。


クリプトマイニングの脅威の増大

CTAは最近、増大するクリプトマイニングの脅威に関する共同分析レポートを公表しました。クリプトマイニングは、個人に対しても企業に対しても短期的および長期的な脅威となる活動です。サイバー犯罪者の主張とは異なり、この脅威には被害者も損害も存在するので、個人も組織もシステムを保護する手段を講じる必要があります。この「The Illicit Cryptocurrency Mining Threat(不正な仮想通貨マイニングの脅威)」というレポートは、この増大する脅威のリスクと潜在的影響、およびこの脅威に対して組織がとれるベストプラクティスを明らかにしている重要なレポートです。

仮想通貨は新たなデジタルエコノミーの中核となっています。その価値と利用が増大するにつれて、サイバー犯罪者の標的としての価値も増大しています。これは、この脅威の拡散が仮想通貨の揮発性に依存していることを意味します。フォーティネットの脅威レポート 2018年第2四半期版では、「仮想通貨の市場価格とそれらの通貨をマイニングするよう設計されたマルウェアの間には適度な正の相関性がある」と報告しています。フォーティネットは同じレポートの中で、Monero(モネロ)でも類似のパターンが見られたと指摘しています。

クリプトマイニング活動の潜在的価値が増大するにつれて、サイバー犯罪活動がランサムウェアから移行する現象が見られました。たとえば2017年の第4四半期には、9種類のランサムウェアの亜種が全組織の10%以上に影響を与えました。しかし、2018年の第1四半期の終わりまでには、その数が3種類にまで落ち込みました。これは単なる偶然ではありません。

サイバー犯罪者は今では、NotPetyaが使用するMimikatz(資格情報窃盗ツール)をクリプトジャッキング攻撃で活用しています。さらに、サイバー犯罪者がランサムウェアで悪用してきたApache StrutsやDrupalなどの脆弱性が、今ではクリプトジャッキング用の武器として利用されています。

しかし、最も衝撃的なのは、最初はWannaCryランサムウェアエクスプロイトで利用されていたEternalBlue脆弱性が、今では目的を変えてWannaMineと呼ばれるクリプトジャッキング攻撃で利用されるようになったことです。同様に、PowerGhostという別のマイニングマルウェアは、最初にスピアフィッシングを使ってネットワークにアクセスし、Windows Management Instrumentation(WMI)を使ってWindows資格情報を盗み、EternalBlueを使って拡散します。PowerGhostはその後、先行のマルウェアよりさらに先に進みます。システムに感染した後、PowerGhostはWindows Defenderなどのウイルス対策プログラムを無効化しようと試み、CPUを最大限に使用するために競合する仮想通貨マイニングツールを無効にし、さらにマイニングに使用できる時間を最大化するためにコンピュータのスリープモードと休止モードを無効にします。

悪意のあるサイバーアクターは、これらのツールを利用するために、コンピュータのCPUサイクル、Webブラウザ、IoTおよびエンドユーザーのモバイルデバイス、ネットワークインフラストラクチャを標的にします。フォーティネットは、スマートテレビ、ケーブルボックス、DVRなどのメディアデバイスが不正マイニングの手段として標的となることが増えていると指摘しています。サイバー犯罪者は仮想通貨をマイニングするために、既知の脆弱性を悪用してこれらのデバイスの処理能力を盗みます。仮想通貨マイニングを目的とした処理能力の窃盗は、データを人質にしたり、知的財産を盗んだり、重要なインフラストラクチャを混乱させるサイバー攻撃を前にすると、比較的無害に見えますが、全体的なサイバーセキュリティを向上させるために対処するべき脅威です。不正なサイバーマイニングは、最低でも企業のリソースを枯渇させます。その結果、処理負荷が増大し、高価なクラウドコンピューティングリソースが盗まれ、ITおよびOTインフラストラクチャが物理的損傷を受けるリスクが生じることさえあります。


クリプトマイニングは増大しつつある問題の症状の1つ

クリプトマイニングの影響を受ける組織は増え続けています。複数のCTAメンバー組織から寄せられたクリプトジャッキングの増加の例を以下にいくつか示します。

  • 仮想通貨マイニングマルウェアは、2017年の第4四半期にはフォーティネットの全顧客の13%に影響を与えましたが、2018年第1四半期には倍以上に増えて、顧客企業の28%に影響を与えました。
  • 2018年5月に発表されたチェック・ポイント社のGlobal Threat Index(グローバル脅威インデックス)は、ブラウザベースの仮想通貨マイニングツールCoinHiveが同社の企業顧客の22%に影響を与えたことを明らかにしました。これは50%近い増加です。
  • パロアルトネットワークス社が2018年6月に発表したレポートでは、最終的に仮想通貨マイニングツールを配信するバイナリベースのサンプルが重複なしで約470,000件特定されています。
  • マカフィー社の2018年6月の脅威レポートは、コインマイニングマルウェアの総数が2018年の第1四半期に629%増加して290万サンプルを超えたと報告しています。

ネットワーク上でのクリプトマイニング活動の存在は、多くの点で、サイバーハイジーン(サイバー衛生)に対する甘い態度というより大きな問題の症状の1つでもあります。この着実に増大しつつある問題は、サイバー攻撃の成功率を上げている重要な要素です。サイバーヘルスが良くないと、サイバー犯罪者が足がかりを得てネットワーク内に拡散することを可能にするセキュリティ体制の欠陥を引き起こします。

この最新のCTAレポートによれば、「もしマイナーがネットワークの処理能力を使用するためのアクセス権を取得できるとしたら、より高度なアクターはすでにアクセス権を持っているかもしれません。不正な仮想通貨マイニングは炭鉱のカナリアのようなもので、より大きな問題を前もって警告してくれます。CTAのメンバーは、マイニング感染のインシデント対応に呼び出されたときにネットワーク内で複数の脅威アクターの兆候を発見したケースがたびたびあったと語っています。」


クリプトジャッキングマルウェアはネットワーク内をどのように移動するか

一般に、悪意のあるアクターのほぼ全員が、マルウェアをインストールして拡散する際に3つの段階を踏みますが、クリプトジャッキングの攻撃手順も同じです。まず最初に、アクセス権を取得する必要があります。最初の挿入ポイントとしては、侵害されたWebサイト、スパムメール、不正広告などが使用されます。多くの場合はその後に、ハッシュ、トークン、キャッシュされた資格情報、チケットなどを盗む資格情報攻撃が実行されます。マイニングマルウェアも、この目的でMimikatzを使用します。

FortiGuard脅威調査チームが実施した調査によると、アクターは次に、盗んだアクセス権を使ってマルウェアをシステムからシステムへとコピーします。その際、単にスクリプトを通じてマルウェアをコピーすることもあれば、PSEXECとWindowsの管理共有(C$、ADMIN$、IPC$など)を使用することもあります。管理共有は、通常は多くのネットワークで使用可能になっています。通常は管理者だけがアクセスできるこれらの隠しネットワーク共有は、リモートファイルコピーだけでなく他の管理機能も実行できる能力を攻撃者に提供します。

最後に、アクターはさまざまなツールを使ってマイニング操作を開始します。マイニングには、検知を回避するために特定の時間にタスクを実行するようにスケジュールできるリモート管理ツール(C、AT、WinRS、Schtasksなど)や、マルウェアをリモート実行できる正規のWindowsプロセス(PowerShell、WMI、PSEXEC)が利用されます。さらに、マルウェアは、EternalBlueなどの既知の脆弱性を利用して、ワーム伝播を通じてネットワーク内で横方向に拡散することができます。


何ができるか

組織がクリプトジャッキングのリスクに備えて自衛するためにできることがいくつかあります。まずCTAの「THE ILLICIT CRYPTOCURRENCY MINING THREAT」レポートをダウンロードして、不正なクリプトマイニングに関連する問題と、自組織に対するその影響を理解することから始めてください。次に、たとえば以下のようなサイバーハイジーンのベストプラクティスを強調する「健康」戦略を策定します。

  • ネットワークに接続されたデバイスの包括的なインベントリを維持管理する
  • それらのデバイスと関連アプリケーションおよびワークフローについて、動作の基準を定める
  • 脆弱なシステムにパッチを適用するかシステム自体を交換する
  • 潜在的な脆弱性があるデバイスおよびデータ(IoTなど)を残りのネットワークから分離する
  • リモート管理ツールや他の管理プロセスの使用を監視する
  • ログファイルを収集して分析する

最後に、常に最新の脅威に対するシステムの備えを固めるために、さまざまなソースからのアクティブな脅威インテリジェンスフィードを購読してください。

自分の組織がクリプトマイニングマルウェアにすでに感染している可能性があるというのが厳しい現実です。上記の手順を実行すれば、脅威を特定して取り除いたり組織を将来のクリプトマイニングのリスクから守る助けになるだけでなく、現在のセキュリティ戦略に内在するギャップを埋める役にも立ちます。このようなギャップがあると、今日のデジタルエコノミーにおいて組織が成功を収める能力を脅かす多数の高度で悪質なサイバー脅威に組織がさらされることになります。


FortiGuard

最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。

FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。