クラウドプラットフォーム無料枠で金稼ぎする暗号通貨マイニンググループ

bitcoin

ここ数カ月の間、一部の暗号通貨マイニンググループがマイニング手法をパッチが適用されていないサーバへの攻撃や乗っ取りからクラウド・コンピューティング・プラットフォームの無料枠の悪用に切り替えていることがわかりました。

グループは特定のプラットフォームにアカウントを登録し、無料枠に登録。プロバイダの無料枠のインフラ上で暗号通貨マイニングアプリを実行することでマイニングをしています。

試用期間や無料クレジットが限界に達した後は新たなアカウントを登録して最初のステップから始め、プロバイダーのサーバーを使用負荷をかけ、通常の運用を影響がでています。

複数のプロバイダーで不正使用が報告

Recorded Futureでは、6週間前にGitHubでこの手口が悪用されていることを初めて確認して以降、観察を続けてきています。

開発者たちは他のプラットフォームで経験したこれらの悪用について体験談を語り、企業も同様の悪用の被害を共有するために名乗りを上げています。

このように悪用されたサービスのリストには、GitHub、GitLab、TravisCI、LayerCI、CircleCI、Render、CloudBees CodeShip、Sourcehut、Oktetoなどが含まれています。

これらの被害のほとんどにおいて、被害をうけたクラウド企業は継続的インテグレーション(CI)サービスを提供しています。これは開発者からソースコードの更新を受けて、アプリケーションのビルド、パッケージ、テストを自動的に行い、管理者がその変更を本番環境に展開することを承認するサービスの一種です。

継続的インテグレーションサービスとは、開発者からソースコードの更新を受け、アプリケーションの構築、パッケージ化、テストを自動的に行い、その結果をプロジェクトの管理者に通知するサービスです。

暗号マイニンググループは、このプロセスを悪用して独自のコードを追加。CIの仮想マシンに暗号通貨のマイニング操作を実行させることで、仮想マシンの限られた期限がきてクラウドプロバイダが仮想マシンをシャットダウンする前に、攻撃者に少額の利益をもたらすことができることに気づきました。

このようにして、暗号マイニンググループはGitHubユーザーにCI機能を提供するGitHubのActions機能を悪用して、GitHub自身のサーバーを使って暗号通貨を採掘してきたのです。

しかし、このような手口が見られたCIプロバイダーはGitHubだけではありません。LayerCI、TravisCI、Sourcehut、CloudBees CodeShip、CircleCIでも同様の不正利用が確認されています。

TravisCIの被害

我々はこれらの対応に追われており、しかも無料アカウントだけではなく、AWSで直接レンタルするよりもずっと安い我々へアカウントに少額の料金を払って、暗号通貨を最大容量で採掘していることもあります。Sourcehutは、かなり小規模でニッチなCIプロバイダーであるにもかかわらず、その無料ティアの同様の悪用も報告されています。悪意のあるユーザーが、頻繁に登録される数十個のアカウントで大量のジョブを意図的に送信し、当社の不正使用検知を意図的に回避し、当社のリソースをできるだけ多く使用して暗号通貨を採掘しています。

Sourcehutはブログで「これの悪用により当社のリソースが枯渇し、通常のユーザーにとっては長いビルドキューが発生しています。」と述べています。

さらにGitHubに次いで現在2番目に大きなコーディングプラットフォームであるGitLabも名乗りを上げブログ記事を公開し、同社が提供するCIの同様の悪用と今後の対処方法について詳しく説明しています。

https://about.gitlab.com/blog/2021/05/17/prevent-crypto-mining-abuse/

「乱用を阻止し、被害を減らすために、2021年5月17日からGitLabは新規の無料ユーザーがGitLab.comの共有ランナーを使用するために有効なクレジットカードまたはデビットカードの番号を提供することを要求することとしました。”と同社は述べており、GitLab社によると無料層のユーザーには課金しないが、支払いカードを使って1回限りの1ドルの取引でユーザーの本人確認を行うとのことです。

しかし、GitLabはその規模の大きさのためユーザーに無料のCIを提供し続ける余裕がありますが、残念ながら他の小規模なCIプロバイダーはそうはいきません。SourcehutとTravisCIの両社は、無料CIの提供を停止する予定だと述べています。

CIプロバイダーだけではない

こうした攻撃はCIプロバイダーに限ったものではありません。ハイコンピューティングシステムに無料でアクセスできるWebサービスであれば、これまでにも暗号マイニングギャングが悪用を試みている可能性が高いとされています。

Webサイト構築サービス「Render」やKubernetesクラスタのホスティングサービス「Okteto」でも、同様の不正利用が報告されており同社のCEOであるRamiro Berrelleza氏は昨年のeBPFカンファレンスで、このテーマについての講演を行っています。

また、一部の暗号通貨の掲示板ではOracle Cloudの無料トライアル期間やAlibaba Cloudの格安枠を悪用して一時的に暗号通貨マイニングサーバーを立ち上げ、一時的な小額の利益を得る方法を詳細に説明したチュートリアルも数多く存在します。

Leave a Reply

Your email address will not be published.