Cryptojacking Pentera

ペンテラ プロダクトマネージャーアビア・ヤアコフ

クリプトジャッキング。ランサムウェアや大ニュースになるようなデータ漏洩ほど派手ではありませんが、静かにリソースを流出させ、コストを積み上げています。クリプトジャッキングは、システムから締め出す代わりに、自社のサーバーやクラウドにあるコンピューティング・パワーを静かに乗っ取り、気づかないうちに暗号通貨を採掘する。

クリプトジャッキングは、企業が認識している以上に大きな被害をもたらしており、被害が拡大する前にこの脅威に対処する必要がある。

SonicWallによると、2023年にはクリプトジャッキング攻撃が659%急増しました。暗号通貨が1ドル採掘されるごとに、企業は約53ドルのクラウドコストを支払うことになる。また、クリプトジャッキングはランサムウェアのように即座にシステムを破壊するわけではないため、気づかれないことが多く、企業は被害が発生してから長い時間が経過してから気づくことになる。

クラウド環境やコンテナ化されたインフラに移行する企業が増える中、クリプトジャッカーはこれらのシステムを悪用する新たな方法を見つけつつある。問題は、どのようにして隠れた攻撃を防御するかということだ。

クリプトジャッキングとは何か?

クリプトジャッキングは、CPU、GPU、クラウドインフラストラクチャなどのコンピューティングリソースを不正に使用し、BitcoinやMoneroなどの暗号通貨をマイニングします。目的はデータを盗むことではなく、処理能力を盗むことだ。そして攻撃者は、あなたのシステムにクリプトマイニング・コードを侵入させる方法をいくつか開発している。

ここでは、一般的な侵入方法を紹介する:

  • ドライブバイダウンロード: ドライブバイダウンロード:ユーザが危険なウェブサイトにアクセスすると、悪意のあるクリプトマイニング・スクリプトがバックグラウンドで自動的に実行されます。BianLianランサムウェアグループは、2023年にこのアプローチを使用し、クリプトマイニングスクリプトを無意識の訪問者に拡散しました。
  • フィッシングメール: フィッシングメールからリンクをクリックしたり、ファイルをダウンロードしたりすると、知らず知らずのうちにクリプトマイニング・マルウェアをダウンロードしている可能性があります。2024年には、難読化されたSVGファイルを使用したキャンペーンが防御を回避し、クリプトジャッキングマルウェアを展開しました。
  • パッチ未適用の脆弱性: 攻撃者はパッチが適用されていないシステムを好む。例えば、クリプトジャッカーは、Apacheサーバーの脆弱性を悪用して、クリプトマイニング・マルウェアをネットワーク上に拡散させることがよくあります。
  • コンテナ化された環境: コンテナを採用する企業が増えるにつれ、クリプトジャッカーは、公開リポジトリに保存されたコンテナ・イメージ内にマイニング・スクリプトを埋め込むようになっています。2024Commando Catキャンペーンでは、公開されたDocker APIを悪用してクリプトマイニングを展開しました。

Cryptojacking attack

なぜ気にする必要があるのか?クリプトジャッキングの現実世界への影響

クリプトジャッキングは、データ盗難に比べれば些細な不都合のように思えるかもしれませんが、その影響はほとんどの企業が認識しているよりもはるかにコストがかかる可能性があります。

  • パフォーマンスの低下:クリプトジャッキングはCPUとGPUのリソースを消費するため、システムのパフォーマンスが低下します。その結果、パフォーマンスが低下し、サーバーが正規のトラフィックを処理することが困難になります。さらに、過剰な電力消費は電気代を増加させ、ハードウェアに負担をかけ、オーバーヒートや機器の損傷につながる可能性があります。ユーザーは遅延を経験し、生産性が低下します。
  • クラウドコストの急増:クラウド環境でのクリプトジャッキングは、請求額の高騰につながる可能性があります。クラウドプロバイダーはリソースの使用量に基づいて課金するため、マイニングマルウェアを実行する侵害された仮想マシンやコンテナは、膨大な量のCPU、GPU、メモリを消費し、予期せぬ天文学的な請求が発生することがよくあります。
  • ダウンタイムと生産性の損失: 酷使されたシステムはクラッシュしたり、業務が停止するほど速度が低下することがあります。ランサムウェアのように締め出されることはないかもしれないが、クリプトジャッキングによって生産性が著しく低下する可能性がある。
  • セキュリティの脆弱性: クリプトジャッカーは、より大規模で被害が大きい攻撃につながる可能性のある同じ脆弱性を悪用することが多い。攻撃者は、侵害されたリソースの足がかりをすでに持っているため、いつでもそれを利用して、さらなるシステム侵害のために別の攻撃戦術を取ることができます。これは、クリプトジャッキングの一般的な二次的リスクです。

実際のケーススタディクリプトジャッキングの被害事例

クリプトジャッキングの標的は中小企業だけではありません。ハイテクからヘルスケアまで、業界を問わず大手企業がこうした攻撃の被害にあっている。

あるハイテク企業では、AWSのクラウドリソースがクリプトマイニングのために乗っ取られ、10万ドルの予期せぬクラウドコストが発生した。一方、あるヘルスケア・プロバイダーは、クリプトジャッキングによってシステムの速度が低下し、機密データが間接的に流出したことで、パフォーマンスに重大な問題が発生した。

2024年には、複数のセクターでインシデントが急増した。悪名高いTeamTNTグループは、公開されたDockerデーモンを悪用してクラウドインフラを侵害し、別のキャンペーンではDocker Engine APIを標的にしてコンテナ環境に侵入しました。

AtlassianのConfluenceに致命的な脆弱性があり、攻撃者は企業ネットワーク内にXMRigマイナーを配備することができた。誤設定されたKubernetesクラスタは、Deroマイナーを展開するための格好の標的となり、Migoマルウェアは、コンピューティングリソースをハイジャックするためにセキュリティ機能を無効にすることでRedisサーバーを侵害した。

このような脅威の増大は、経済的・経営的に壊滅的な打撃を与える可能性のある事態を回避するための事前防御の重要性を浮き彫りにしています。

クリプトジャッキングの検知と防止方法:実践的なソリューション

クリプトジャッカーに打ち勝つためには、企業はプロアクティブな多層防御を行う必要があります。その方法をご紹介します:

  • エンドポイント保護:エンドポイント保護:今日のエンドポイント・セキュリティ・ツールは、多くの場合、クリプトジャッキング検知機能を備えている。これらのツールは、リソースの消費量の急増を監視し、異常なアクティビティにフラグを立て、重大な被害を引き起こす前に管理者にクリプトマイニング・スクリプトを警告します。
  • ネットワーク監視:クリプトジャッキングは多くの場合、ネットワーク・トラフィックに痕跡を残します。暗号通貨をより効率的に採掘するために、侵害されたシステムのコンピューティング・パワーを結合するネットワークであるマイニング・プールへの異常な接続についてトラフィック・パターンを分析するツールは、クリプトジャッキングの早期発見と防止に役立ちます。
  • クラウド監視:AWS CloudWatchやAzure Monitorのようなプラットフォームは、CPUやGPUの消費量の急増を追跡するのに役立つ。リソース消費量の急激な急増は、クリプトジャッキングの兆候である可能性がある。

しかし、これらのツールを導入するだけでは十分ではない。最新のクリプトジャッキングの脅威に対して有効であることを確認するために、これらのツールを正しく設定し、継続的に更新する必要がある。

継続的な検証防御を強固に保つ

最先端のツールであっても、100%の防御を保証することはできません。定期的なテストと検証を行わなければ、防御にギャップが存在する可能性があります。そこで、継続的なセキュリティ検証の出番です。

継続的検証では、クリプトジャッキング攻撃を安全にエミュレートすることで、防御が常に最新であることを保証します。

複製されたクリプトジャッキング・マルウェアの安全なバージョンを使用することで、お客様の環境が野生の脅威にさらされる前に、システムが攻撃にどれだけ耐えられるかをテストします。

結論

クリプトジャッキングは密かに行われるかもしれないが、その影響はそれ以上である。クラウド料金の高騰からパフォーマンスの低下、間接的なセキュリティ・リスクまで、企業が無視できない脅威となっている。しかし、積極的なアプローチによって、企業はクリプトジャッカーに先手を打ち、リソースを保護し続けることができます。

Penteraでシステムを継続的にテストすることで、時間とコスト、そしてセキュリティが犠牲になる前に、クリプトジャッキングをブロックするための防御が十分に強固かどうかを知ることができます。

デモをご希望の方は、ペンテラまでご連絡ください。

Penteraがスポンサーとなり、執筆しました。