第2四半期に検知された仮想通貨マイニングマルウェアが前期比約86%増とマカフィーが報告

　マカフィー株式会社は10月11日、第6回となる脅威動向に関する報道関係者向けの勉強会を実施した。勉強会では、本社セールスエンジニアリング本部本部長の櫻井秀光氏とセールスエンジニアリング本部サイバー戦略室シニアセキュリティアドバイザーのスコット・ジャーカフ氏が登壇した。櫻井氏は「2018年第2四半期の脅威動向」として、世界中のマルウェア検知件数は減少傾向にあることを報告。一方で仮想通貨マイニングマルウェアは今期約250万件検知されたという。これは前期の仮想通貨マイニングマルウェア検知件数と比べて約86%の増加となる。

　仮想通貨マイニングマルウェアは、気付かない間に仮想通貨を発掘するシステムをユーザーのパソコンやスマートフォンなどのデバイスに感染させるもので、通称「コインマイナー」という名で呼ばれている。マルウェアは、ファイルを実行させてマイニングを行うタイプとWebブラウザで特定のサイトを閲覧中にマイニングさせるJavaScriptタイプの、大きく分けて2通りのものが確認されている。

　Webブラウザ上でマイニングをする仕組みは、オーストラリアのユニセフのサイトでマイニングで得た報酬を寄付する目的で同じものが使われており、これは利用者に対してマイニングを行うことを開示した上で使用しているもので問題ないとの見解を櫻井氏は示す。問題なのは、利用目的を開示せずユーザーが気付かないようにマイニングさせる、悪意のある利用が潮流になってきていることだと氏は指摘する。

櫻井秀光氏

　一部のケースでは、特定の団体を標的にしたマイニングマルウェアの利用も見られているのだそう。ロシアではゲームコミュニティを標的にした、人気パソコンゲームの「MOD」（改造データ）になりすました仮想通貨マイニングマルウェア亜種が確認されたとの報告がある。また標的はパソコン利用者に限らず、中国や韓国ではAndroid携帯端末が「ADB.Miner」というマイニングマルウェアに感染したケースも見られている。このように勢いづく仮想通貨マイニングマルウェアについて、もはや攻撃者にとっての常套手段になりつつあるという見方を櫻井氏は示す。

　続いてスコット・ジャーカフ氏からはマカフィーが注目するサイバーセキュリティインシデントが報告された。Fancy Bear（ファンシーベア）と呼ばれるロシアのハッカー集団による新しいマルウェア攻撃では、LoJax（ロジャックス）というOSを再インストールしても削除できないマルウェアが使われているのだそう。これは元々10年前のセキュリティソフトウェアだったLoJack（ロジャック）を悪用している可能性があり、LoJax自体はデータを盗むことはせずに感染したシステムの侵入経路として利用されてしまうことが確認されているという。

右はFancy Bearの攻撃部隊をイメージして描かれた非公式のイラスト

　質疑応答にて筆者がこのLoJaxを利用したマイニングマルウェア感染への悪用は確認されているのかどうか伺ったところ、LoJax自体が見つかったばかりのマルウェアであるため、まだマイニングマルウェアと併用して使われているケースは見られないとの回答を得た。ただし攻撃者というものは一般的に既存の犯罪を踏襲するため、今後Fancy Bearがマイニングマルウェアを使う可能性はあり得るだろうし、また別の集団がLoJaxを介してマイニングマルウェアを侵入させる可能性もあり得るとの見解をスコット・ジャーカフ氏は示した。

スコット・ジャーカフ氏

　また、その他のサイバーセキュリティインシデントとして、氏は2点の話題に触れた。1点目は特定のクラウドを標的としたAPT攻撃（高度標的型攻撃）について、現時点では具体的な脅威行為は確認されていないがアメリカ合衆国国土安全保障省（DHS）にて議論が進んでいるという話題である。もう1点目は中国国内においてAmazonとAppleのサプライチェーンデータサーバーに米粒よりも小さい超小型マイクロチップが納入されていたことが確認され、中国のスパイが2社を攻撃している疑惑があるとの話題であった。