感染したサイトにアクセスするとPCまたはモバイルデバイスが不正に仮想通貨マイニングを始めるCryptojackingの台頭により、マイニングの魅力が増しています。しかし、攻撃者はデバイスの数、処理能力、マイニングへの電力供給をうまく他者にやらせるため、WEBブラウザーの拡張ツールといった気付かない方法でCryptojackingを実行させます。
2月15日に、重要インフラストラクチャ・セキュリティ会社のRadiflowは、欧州の水道事業の運用技術ネットワーク(監視と制御を行う)に仮想通貨マイニングマルウェアを検出したと発表しました。これは、インダストリアル・コントロール・システムに対して使用された最初のマイニングマルウェアの例です。
Radiflowは引き続きその影響の程度を評価していますが、この攻撃はシステムに「重大な影響」を与えるようです。研究者は、マルウェアはシステムを圧倒して明らかな問題を発生させることなく、仮想通貨モネロのマイニングができるほどの処理能力があり、バックグラウンドで静かに動作するように構築されていることを説明しました。このマイナーは、セキュリティスキャナやその他のツールを検出して無効にすることまでできるように設計されています。このようなマルウェア攻撃は、プロセッサおよびネットワーク帯域幅の使用量を増加させ、インダストリアル・コントロ-ル・アプリケーションのハングアップ、一時停止、さらにはクラッシュを引き起こし、プラントを管理するオペレータの能力を潜在的に低下させる可能性があります。
―インダストリアル・コントロール・システムの「マルウェアマイナー」の危険性を認識しています。主な不安は、インダストリアル・コントロール・システムは高いプロセッサ能力を必要とし、その影響が深刻な安全上の懸念を引き起こすということです―コンサルティングファームRedTeam Security Marco Cardacci氏
RadiflowのCEO、Ilan Barda氏は、ユーティリティネットワークに侵入検知製品をインストールした時に、悪意のあるマイナーを発見する可能性があるとは考えていなかったそうです。
―このケースでは、社内ネットワークにはリモート監視用のインターネットへのアクセスが制限されていました。突然、複数の外部IPアドレスと通信するサーバーがいくつか発見されました。これは目標とする攻撃ではないと思います。使用することのできるまだ使っていない処理能力を探していただけでしょう― Ilan Barda氏
インダストリアル・プラントは悪質なマイナーにとって魅力的な環境を証明するかもしれないようです。多くはベースライン処理に多くの処理能力を使用するのではなく、多くの電力を消費するため、マルウェアをマイニングしてCPUと電力消費の両方をマスクするのが比較的簡単です。また、新しいオペレーティングシステムやアップデートを導入すると、不用意に重要なレガシープラットフォームを不安定にします。そのため、工業用コントロールシステムの内部ネットワークは、旧式でパッチのないソフトウェア実行することで知られています。しかし、これらのネットワークは一般的に公共のインターネットにはアクセスしません。また、ファイアウォール、タイトなアクセスコントロール、エアギャップは、しばしばセキュリティを強化します。
Radiflowの研究所のように、インダストリアルコントロールに焦点を当てたセキュリティ専門家は、多くのシステムの防御はまだ不十分だと警告しています。
―エアギャップがあると主張している構成の悪いネットワークをたくさん見てきましたが、実際にはありませんでした。エアギャップが存在しないとは決して言いませんが、謝った構成が十分な頻度で発生しています。マルウェアが重要なコントローラに浸透しているのを確認することができました― RedTeam Security Cardacci氏
処理能力が非常に落ちるため、自動化されたスキャンツールを用いてマイニングしようとしているハッカーは、CPUへのアクセスを意味する場合、インダストリアル・コントロール・システムの防御の脆弱性をうまく利用しています。インサイドトラックの技術者もまた誘惑に陥る可能性があります。ロシアの科学者グループが最近、ビットコインマイニングのためにロシアの秘密の核研究と核弾頭施設でスーパーコンピューターを使用しているとして逮捕されました。
―至る所で仮想通貨が大流行しています。たくさんのことに大きな変化をもたらしました。信用証明書を盗んだりランサムウェアとして機能したりするのではなく、マイニングを行っています― ネットワークセキュリティ企業Malwarebytesのリード・マルウェア・インテリジェンス・アナリスト Jérôme Segura氏
ブラウザ内のCryptojackingは2017年末までの新規開発でしたが、悪意のあるマイニングマルウェア自体は新しいものではありません。そして、ますます多くの攻撃が絶え間なく行われています。例えば、2月10日または2月11日頃、攻撃者は一般的なウェブプラグインのBrowsealoud(ブラウズアラウド)を攻撃し、米国の連邦裁判所システムや英国の国民保険サービスを含む何千もの主流のウェブサイト上からのマイニングパワーを奪いました。
従来のマイニング攻撃は、PCやスマートフォンなどの個々のデバイスをターゲットにしたBrowsealoudのようなものです。しかし、仮想通貨の価値が膨れ上がるにつれ、攻撃の緻密さはますます向上しています。
RadiflowのBarda氏によると、例えば、水処理施設に感染しているマイニングマルウェアは、インターネットに接続されたリモート・モニタリング・サーバーから公開されることのない他のサイトに移動するように内部的に広がるように設計されているようです。
―それが一時的なものでも、何か1つ弱点を見つけるだけで、広がる方法を見つけることができるのです― Ilan Barda氏
オブザーバーは、特に仮想通貨の価値が不安定であることを考えると、どのくらいCryptojackingが広がるのかを確認するには早すぎると言っています。しかし、重要なイオンフラストラクチャでは、悪意のあるマイニングがトラブルのサインとなっています。Cryptojackingマルウェアは、寄生虫が宿主を殺そうとはしないように、実際の脅威をもたらすようには設計されていませんが、やがて消耗し、時間の経過とともにプロセッサを劣化させます。やたら攻撃的なマルウェアは、スマートフォンのような感染したデバイスに物理的なダメージを与えることさえ知られています。
すぐに得られる金銭的利益よりも悪い目的を持つ攻撃者がマイニングマルウェアを用いて重要なインフラストラクチャコントローラを物理的に破壊する可能性もあるようです。これは稀ではありますが、突発的な攻撃です。
このような致命的な攻撃は仮説であり、実用的ではないかもしれません。しかし、専門家は、攻撃者がアクセスすることのできる誤った設定や欠陥をなくすため、インダストリアル・コントロール・プラントに一貫して監査してセキュリティを向上させ、内部ネットワークがきちんと閉鎖していることを確認するように促しています。
仮想通貨の最新情報をお届けします!
