2496件に及ぶオンラインサイトが、マイニングスクリプトの被害に遭っている事が明らかになった。

このデータはセキュリティ研究者・Willem de Groot氏(@gwillem)が独自の調査を行なって自身のウェブサイトで公表した。

オンラインショッピングサイトの性質を悪用

注入したスクリプトでユーザーPCのリソースを使ってマイニングをするためには、ユーザーが長時間ウェブサイトに滞在していなくてはならない。

その理由は暗号通貨のマイニングには時間がかかり、継続的な計算処理が必要だからだ。

オンラインストアは、商品ページをユーザーがじっくりとウィンドウショッピングする傾向にあるので、時間のかかる暗号通貨マイニングには丁度いいのだ。

被害に遭ったサイトの80%がスキミング被害も

マイニングスクリプトをインジェクト(注入)されたオンラインサイトは、スキミング用のコードも注入されていたようだ。

その数はなんと、80%(de Groot氏調べ)。

80%というと、およそ2000ものサイトがスキミング用のコードを注入されていた計算になる。

この数字は、de Groot氏が行なった調査対象サイトに限った数字なので、サンプル数を増やせばもっと小さくなるかもしれない。

たった2つのアカウントで全体の85%からマイニング報酬を回収

またde Groot氏の調査によれば、2496件のオンラインサイトの85%程が、たった2つのアカウントに対してマイニング報酬を送っているようだ。

全体の85%という事は、およそ2122件分のマイニング報酬が2つの攻撃者(又はグループ)によって回収されていると見て間違いない。

被害に遭ったサイトの信頼失墜は確実

マイニングスクリプト、スキミングの被害に遭っているともなれば、サイトの信頼は失墜する。

ユーザーからしたら、CPUのリソースを90%以上も使われ、電池も消耗されるだけでも敬遠したくなるだろう。

そこに更に、クレジットカードの情報まで盗みとられてしまうとすれば、被害のあったウェブサイトへユーザー登録情報も削除したくなってしまうのではないだろうか。

カスペルスキーでは既に対応済

エンドポイントソフトウェアを提供するカスペルスキーは、既にマイニングスクリプトの対策をしているようだ。

私のPCで被害を受けたttp://shop[dot]subaru[dot]com[dot]au/アクセスした所、カスペルスキーのソフトウェアによってブロックされた。

このようにエンドポイント側でブロックされてしまうと、今後このサイトに訪れたいと思う人は減っていくに違いない。

私個人的にも、マイニングスクリプトを注入されるような脆弱性を抱えたオンラインストアにはカード情報、氏名や住所等の情報は預けたいと思わない。

今後、マイニングスクリプトを無断で実行するウェブサイトは自動で検知し、ブロックしていく流れになっていくと思うので、ウェブサイト運営者はセキュリティパッチの適用をしよう。

また、ユーザーも知らないうちにマイニングスクリプトを実行されている可能性がある。

私のようにカスペルスキーエンドポイントを導入していれば防げるが、その他のエンドポイントを使用しているユーザーは、エンドポイントにマイニングスクリプトをブロックするシグネチャがあるか確認してもらいたい。

Chromeユーザーは、Coinhive(マイニングスクリプトの提供元)のスクリプトをブロックする拡張機能があるので、ダウンロードすることをおすすめする。