24時間で約5千台のAndroid機器がボットネットに感染!暗号通貨を勝手にマイニングされる事態に

中国のセキュリティーベンダーである360 Netlabは4日(現地時間)、Androidを搭載した機器を対象とした悪意のあるコード「ADB.Miner」の感染速度が日本時間(JST)の2018年2月3日(土)16時頃から急激に増加したことを検知したと報告しています。

調査および報告を行なった同社のHui WANG氏によれば、この悪意のあるコード感染は最初の感染を2018年1月31日に引き起こしており、ワームのように急速に感染数を増やしたことによって同社のセキュリティー監視システム「Netlab」に感知されたとのこと。

この悪意のあるコードに感染すると、気付かずに暗号通貨の「Monero」を勝手にマイニングされるようになってしまうということで、その後は感染したIPアドレス数は7000をピークに2月5日以降は安定しており、急増傾向は収まっているとしています。

また感染したAndroid搭載機器は一部がテレビなどに接続するセットトップボックス(STB)だとしており、感染した国・地域では39%の中国(香港・台湾含む)や39%の韓国が大半を占めており、日本でも若干の感染があるとしています。


2018年2月6日時点における感染国・地域(緑が濃いほうが感染数の多い場所)



感染数の推移

このADB.Minerと名付けられたボットネットは、Moneroをマイニングするだけではなく、ネットワークをスキャンして開発者向けの「Andrid Debug Bridge(ADB)」をネットワーク経由で利用する際に利用されるTCPポート(5555)が開いた他の機器を探し出し、新たにボットネットに感染させようと試みるようになっています。

そのため、指数関数的に急激に感染数が伸び、同社では実際に2月3日12時(JST)から2月4日12時(JST)までの24時間にTCPポートの5555への攻撃回数が急激に伸びたデータを示し、この24時間の間にTCPポートの5555に対して攻撃したホスト数は約5000台に増加していると報告しています。

なお、ADB.Minerに感染すると「Moneroをマイニングするようになる」と説明しましたが、今も感染してしまった機器では勝手にMoneroがマイニングされ続けていることが観測されており、攻撃者は「Monero Hash Vault」というマイニングプールを利用してウォレット「44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr」へマイニングしたMoneroを送金するように設定していることが判明しています。

Moneroは他の暗号通貨と比べても匿名性が高いことから悪事に度々利用されているのですが、マイニングプールのステータスページを利用することで今そのウォレットに対してどれくらいのMoneroが送金されたのかを簡単に確認することができるようになっています。


筆者が2018年2月6日23時時点で確認したところではすで該当ウォレットには約0.03XMR(約581円)がマイニングされており、今も毎秒5.67KH(だいたいGTX 1070 7枚分と同程度)ほどのハッシュレートでマイニングされています。

読者の中にはたった581円しか稼げないのかと感じる方もいるかも知れませんが、マイニングされる額が少ないから問題ないというわけにはいきませんし、最近ではWebサイトが改ざんされて、Moneroがマイニングされるといった話は良く耳にしますが、Android機器を狙って、かつ自己増殖機能が実装されているボットネットはこれまで耳にしなかっただけに、非常に衝撃的なニュースだと言えるでしょう。

今後は今回のボットネットと同様に、Android向けのボットネットやマルウェアに自己増殖機能が実装される恐れがあると考えると非常に怖いです。またもしADBをネットワーク経由で利用している場合は、極力オフにしてUSBケーブル経由でADBを利用するようにした方が良いかもしれません。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
・ADB.Miner: More Information