国内におけるコインマイナー検出台数推移(2017年1月〜12月)

 トレンドマイクロ株式会社は、2017年における国内外のインターネットセキュリティ動向を分析した報告書「2017年年間セキュリティラウンドアップ」を公開した。これによると、マイニングマルウェア「コインマイナー」の国内検出台数は、2017年第4四半期(10〜12月)で過去最高となる約13万5370件を記録した。2017年1月〜9月の合計の約13倍の検出台数で、ランサムウェア「WannaCry」をも上回る結果となった。

仮想通貨マイニングツール「コインマイナー」とランサムウェア「WannaCry」の検出台数の月別推移の比較(2017年)

 コインマイナーは、感染したPCのCPUなどの計算処理能力を利用して仮想通貨をマイニングするもの。急増の背景としては、インターネットユーザーへの攻撃が確認された脆弱性攻撃サイトの増加や、仮想通貨マイニングツール「Coinhive」の悪用が挙げられる。また、仮想通貨取引所の認証情報を狙う不正プログラムや、仮想通貨ウォレットを窃取するランサムウェアの登場などがある。

 脆弱性攻撃サイトは2017年10月に2014件、11月に1188件、12月に1257件が確認された。また、コインマイナーの配布が確認されたサイトは2017年10月が832件、11月が232件、12月が241件だった。

国内インターネット利用者への攻撃が確認された脆弱性攻撃サイト数、コインマイナー配布が確認されたサイト数の推移(2017年)

 2017年10月にはマイニングマルウェアが仕込まれた不正アプリ(トレンドマイクロでの検出名は、「ANDROIDOS_JSMINER」「ANDROIDOS_CPUMINER」など)がGoogle Play上で確認されている。不正アプリは検出を逃れるためにJavaScriptを動的に読み込み、ネイティブコードを追加する手法を利用したり、正規アプリに仮想通貨発掘ライブラリを追加して再パッケージしたものを配布するなどして拡散してきたそうだ。

Google Playで確認された一部の不正アプリ

 12月には仮想通貨「Monero」をマイニングするボット「Digmine」がFacebook Messengerを介して拡散されていることが確認された。Digmineはプログラミング言語「AutoIt」で作成されており、デスクトップ用アプリまたはウェブブラウザー(Chrome)で動作する。感染したPCにはできるだけ長く留まるように動画ファイルとして偽装されていた。

Digmineの感染フロー

 トレンドマイクロでは、機械学習技術、挙動監視、アプリケーションコントロール、メールの保護などの総合的なセキュリティ対策を行うことが、仮想通貨関連の脅威を軽減する上で有効だとしている。