【日刊】CoinhiveのDNSアカウントに侵入しマイニング報酬を搾取、LokiBotはバンキングトロイからランサムウェアに変化、”ダークウェブ”がスマホからアクセス可能にーー忙しい人のためのセキュリティニュース(2017/10/25)

f:id:nanashi0x:20171026214324p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースをお送りします。

それでは早速、参りましょう!

CoinhiveのDNSアカウントに侵入しマイニング報酬を搾取

本ブログで何回も紹介してきた、マイニングスクリプト関連の記事。

マイニングスクリプトとは、Webサイトに暗号通貨マイニング用のスクリプトを埋め込み、閲覧ユーザーのCPUリソースを使って暗号通貨・MoneroをマイニングするJavaScriptのことである。

そして今回は、とある無名のクラッカーが、マイニングスクリプト提供元である”Coinhive”のDNSサーバーをハイジャックしたのだ。

インシデントは10月23日の22時頃に発生した。

クラッカーは、CoinhiveのClaudflareアカウントにログインし、DNSレコードをCoinhiveのドメインから新しいIPアドレスに変更。新しいサーバーには、クラッカーによって作成されたcoinhive.min.jsが設置されていた。

既にマイニングスクリプトをウェブサイトに導入している場合でも、クラッカーが作成したスクリプトをロードしてしまう。

本来なら、Coinhiveとサイト運営者のマイニング報酬が3:7であるはずなのに、なんと6時間もの長い間、全ての報酬がクラッカーに対して支払われるようになっていた。

インシデントの原因は、CoinhiveがCloudflareに作成したアカウントのパスワードを、使いまわしていた事であると公表している。

実は、Coinhiveは、クラウドファンディングサイトのKickstarterでアカウントを所有していた。

Kickstarterは、2014年に情報漏えいの被害に遭っており、CoinhiveのID/パスワードの認証情報も流出していたのだ

Coinhiveは、インシデント以来管理者用のパスワードの定期的な変更をしたり、2段階認証を使用していたようだが、Claudflareの管理者パスワードを変更していなかった。

つまり、Kickstarterで流出したパスワードのままCloudflareの管理を行なっていたようなのだ。

Coinhiveは今回の件で被った損害に対して、全てのサイト運営社に対して報酬金の払い戻しをするとしている。公表によると、毎日平均ハッシュレート12時間分の報酬を支払うようだ。

Coihiveは9月半ばに始まった公式のサービスだが、マルウェア開発者等によって悪用されるケースが後を絶たないが現状だ。

Googleは、既にChromeにマイニングスクリプトをブロックする方法を模索しており、今回の事件でセキュリティに不安がることが明らかになった為、マイニングスクリプトという仕組みには逆風が吹いていると言っても過言ではない。

LokiBotはバンキングトロイからランサムウェアに変化

昨日の記事で紹介したLokiBotに関する新たな記事。

LokiBitに関して簡単に内容をおさらいしておこう。

LokiBotとは、Android4.0以降で動作するバンキングトロイである。

その動作は、公式の金融機関のアプリを起動した時にスクリーンオーバーレイをし、攻撃者が用意した公式画面によく似せたログイン画面を表示して、IDとパスワードを入力させるというマルウェアである。

そして今回紹介している記事で言われているのは、実はLokiBotを端末から取り除こうとすると、ランサムウェアに変化するという事だ。

具体的には、ユーザーがLokiBotに与えた管理者権限を取り消そうとすると、LokiBotは端末内のファイルを暗号化し始め、身代金請求する画面を表示するようだ。

この時請求される身代金は70米ドルから100米ドルで、ビットコイン建てで支払わなければならない。

セキュリティラボのSfyLabsは、身代金送付先のビットコインアドレスは150万米ドル相当のビットコインを所有しているが、LokiBotで得た身代金だけではないであろうと推測している。

実はLokiBotにはWindows端末をターゲットにするバージョンも存在しているようだ。そのバージョンは、Windows端末内に保存されているデータを盗み取るとされている。

”ダークウェブ”がスマホからアクセス可能に

IntSightsが発表したCyber Intelligence threat reportによれば、ダークウェブでなされていた闇取引が、Discord, Skype, Telegram等のメッセージング・アプリケーション上でなされる事例が最近増加しているようだ。

原因は、スマホの普及によってダークウェブへのアクセスする敷居が下がったことだと指摘する。

かつてダークウェブにアクセスしている人達の殆どは、基礎的なネットワーク仕組みを理解している必要があった。

例えば、ダークウェブには、”Tor”や"ï2p"等の匿名ブラウザを使わないとアクセスできず、犯罪者が摘発されないよう匿名性を高める為には、更に専門的な知識を必要とした。

しかし、昨今のスマホの普及で匿名ブラウザを簡単にインストール出来るようになった事で、ダークウェブにアクセスする人数が増加。

昔のように専門的な知識を持っている人に限らず、ダークウェブにアクセスして闇取引を行う人達が存在するようになったのだ。

それに伴い、犯罪者同士のコミュニケーション手段も容易に扱えるメッセージングアプリを使って行うようになった。

その結果、ダークウェブでされていた闇取引が、メッセージングアプリ上で行われるようになったのだ。

IntSightのレポートでは、中央集権的なサーバー上に置かれたウェブサイトではなく、閉ざされたコミュニティ間でのやり取りがされるようになってしまった事から、闇取引の摘発が更に難しくなってしまったと指摘している。