″マイニング″をターゲットに狙いが広がるマルウェア
4000を超えるWebサイトへの感染が懸念される仮想通貨マイニングマルウェアやAndroidを狙うキャンペーンなども報じられている。トレンドマイクロでは昨年12月には、Facebook Messangerを利用して拡散を図ろうとするDIGMINEの韓国での発見を報告するほか、データベース管理システム「Apache CouchDB」の脆弱性(CVE-2017-12635/CVE-2017-12636)を狙い仮想通貨「Monero」を採掘する攻撃も確認している。感染端末に競合する仮想通貨発掘活動があればそれを停止させ、新たなマイニング実行ファイルをwgetでダウンロードし実行させていく攻撃例を公式ブログに掲載している。この攻撃の検出ピークは2月上旬に上昇が確認されている。
What are“WannaMine” attacks, and how do I avoid them?(sophos naked security)
SophosではWannaCryワームで使われていたことで知られる脆弱性ETERNALBLUEと仮想通貨マイニングが組み合わせる"WannaMine"についての問い合わせが増えていることを受け、1月末にFacebookでWannaMineを説明するビデオを公開している。QA方式の質問では、WannaMineは、ランサムウェアではなくWannaCryの拡散力を用いて、感染者のリソースをマイニングのために奪うこと、自身がマイニングを行っていなくてもリソースを奪われること、ユーザーの仮想通貨を発見して盗むことが目的ではないこと。WannaMineはETERNALBLUEの欠陥に対応済みであれば、パスワードを破るツールを使って、ネットワーク上にある弱いパスワードの端末を見つけようとすることなど特徴を述べている。対策としては、ETERNALBLUEエクスプロイト同様Microsoftが2017年に配信しているパッチMS17-010をあてること、ウイルス対策ソフトやネットワークセキュリティソフト、侵入検知ソフトなどで対策をとっておくことなどを述べている。マイニングをターゲットにする手法は決して真新しい手法ではないながらも、ネットワークに侵入されれば他のマルウェアにも侵入されるリスクにさらされると述べている。
トレンドマイクロのAnalystであるKevin_Y Huang氏は、昨年7月に仮想通貨マイニングマルウェアの影響を公式ブログでまとめており、同社の収集データではおよそ20%以上がWebおよびネットワークに対する攻撃を行っていたことを記載している。またリソースが奪われることによるパフォーマンス問題だけに限定されず、複合化するマルウェアが企業活動への大きな悪影響をもたらしかねないことに警鐘している。
