暗号通貨イーサリアムのマイニング機器が狙われれている。

ある攻撃者は、初期設定のまま運用されているイーサリアムマイニングOSのを標的にスキャニングを行っているようだ。

そして、スキャニングによって検知された端末に対して、SSH認証情報を使ってマイニング機器の管理画面にログインする。

管理画面で機器の所有者のイーサリアムウェレットアドレスを攻撃者のアドレスに書き換えているようだ。

マイニング報酬を全て攻撃者に送信するよう設定するのが狙いだ。

スキャンは10/30に確認

攻撃者は、イーサリアム機器に対する大規模スキャニングを今週の月曜日から開始したとされている。ルーマニア系のセキュリティ会社、Bitdefenderのハニーポットで検知アラートが上がったのだ。

ハニーポットのログによると、スキャニングは以下のユーザーネームとパスワードを使っている機器に対して行われていた。

スキャニング対象の認証情報

• ethos:live
• root:live

インターネット全体をスキャニングして、Bitdefenderはこのユーザーネームとパスワードのコンビネーションが、イーサリアム採掘用に使用される64bitで、ethOS、Linuxディストリビューションで、GPUベースの暗号通貨マイニングに特化したデバイスだ。

Bitdefenderの研究者は、認証情報がデフォルト設定のままになっている機器を対象にスキャニングを行なった。

攻撃で得た報酬はたった611米ドル

ethOSチームの公表によれば、世界中でおよそ38,000ものマイニング専用デバイスが作動しているようだが、全てのデバイスが今回の攻撃に対して脆弱ではないとしている。

もしマイニングデバイスの所有者がOSのデフォルト認証情報を変更してファイアウォール内に設定していれば、攻撃の心配はない。

Bitdefenderのアナリスト、Bogdan Botezatu氏によれば、攻撃者のものと思われるイーサリアムアドレスには、10個しかトランザクションが発生していないようだ。（文中リンクは攻撃者のイーサリアムアドレス）

（画像を見てもらえばわかるが、2ETH程度しか入っていない。）

更に、Botezatu氏は注意を呼びかけている。

もしイーサリアムマイニング機器を所有している場合は、デフォルトユーザーネームとパスワードを変更したかチェックして欲しい。もし変更していないのであれば、今やってもらいたい。そうすれば、あなたが貰えるはずの報酬を攻撃者に横取りされる事はなくなる。

相次ぐ暗号通貨を狙った犯行

実は、今回Bitdefenderによって報告された事例は、過去にも発生していたようだ。

9月、カナダのセキュリティ会社ESETは、何者かが脆弱性IISバージョン6.0を対象にスキャニングを行なっており、Moneroの採掘用サーバーをインストールしたインシデントがあった。

この時攻撃者は、およそ63,000米ドルもの大金を手にした。

また、今日カスペルスキーは、とあるクラッカー集団がCryptoShufflerというトロイの木馬を使って、ターゲットから暗号通貨を盗み取っている事を明らかにしたようだ。

CryptoShufflerはPCのクリップボードを監視して、暗号通貨用のアドレスがクリップボードにコピーされた際に彼らのアドレスに書き換えるのだ。

こうする事で、ターゲットがペーストする際に彼らのアドレスに暗号通貨が送金される事になるからだ。

他にも、CoinhiveのWebサイト埋め込み型マイニングスクリプトが不正に埋め込まれたり、ユーザーの許可なしに採掘を行う事例も起きている。