2024年7月1日

サイバー攻撃ではその活動の種類により、被害ユーザーへのアプローチが異なっています。サービス拒否（DoS）攻撃のように攻撃活動の当初より、サービスの利用が不可となり、被害ユーザーにとってその活動が攻撃の第一段階から明示的なものがあります。また機密データの詐取や “身代金要求”を目的としたランサムウエア攻撃などでは、別のアプローチを取ります。そのアプローチでは、悪意のあるコードの侵入段階ではその活動を隠し、それに続く攻撃の第二段階においてデータ漏洩による被害や金銭支払いの脅迫を受けることで、被害ユーザーは攻撃を認識することとなります。

そして最終段階までその活動の隠蔽を目的とし、被害ユーザーには永続的にその攻撃被害を認知されないことを目的としたものがあります。継続的に被害ユーザーの機密情報を取得し、その情報をもとに別の攻撃手法により、被害ユーザーに甚大な被害を及ぼすアプローチです。このブログでご紹介する永続的な活動の隠蔽を目的とするクリプトジャッキングも、同様の部類に属するものとなります。

※この記事はProgress Software（以下Progress）社ブログ Detecting Cryptojacking with Progress Flowmon をベースとして書かれています。

クリプトジャッキングとは

クリプトジャッキングは、サイバー攻撃の一つであり、攻撃者がシステムの弱点を悪用し、被害ユーザーに気付かれないように仮想通貨をマイニングする手法です。この攻撃を受けると、侵害されたシステムのリソースが不正に利用されるだけでなく、他の種類の攻撃、たとえばランサムウェアによる被害を受ける可能性もあり、広範なセキュリティ問題が存在していることを示しています。

この攻撃では、攻撃者はDoS攻撃の一種である同期（SYN）フラッドを使って、ターゲットサーバーに大量のリクエストを送り込んで、混乱を引き起こし、他の危険な攻撃が検知されにくくなるように偽装する手法がとられます。

クリプトジャッキング攻撃の構造

クリプトジャッキング攻撃は、典型的にいくつかの段階を経ます。詳しく見ていきましょう。

まず、攻撃者はDoS攻撃の一種であるSYNフラッドなど、少量の攻撃を開始します。これにより、ネットワークにノイズや混乱が生じ、攻撃者の真の意図が隠されます。つまり、攻撃者がDMZ内の脆弱なサーバーを侵害する意図であることが隠蔽されるのです。

次に、攻撃者は、一般的な攻撃手法であるリモートデスクトッププロトコル（RDP）に対する辞書攻撃などを使用して、パッチが適用されていないシステムの脆弱性を悪用し、標的とするシステムへの完全なアクセスを取得します。

最後に、アクセスが確保されると、攻撃者は悪意のあるコードを展開し、サーバーを暗号通貨をマイニングするノードに変えます。これにより被害ユーザーのシステムリソースが、攻撃者の目的のために無断使用される仕組みが構築されることとなります。

基本的な監視ツールの制限

IT基盤の一般的な監視ツールは、システムの最適なパフォーマンスと可用性を確保する上で不可欠です。しかし、このような動きを取るクリプトジャッキングの、微妙な兆候を見逃すことがあります。DoS攻撃によるノイズが加わると、基本的な監視ツールが記録する平均CPU使用率メトリックがすぐにはアラートとして発報されない事象が発生します。また、クリプトジャッキングマルウェアによるCPUの使用率の増加は、DoS攻撃の終了後ではしばしば検知されないことがあります。つまり意図的に発生された別種の攻撃兆候により、攻撃者の本来の意図であるクリプトジャッキング攻撃を結果的に隠蔽することを許してしまうのです。

Flowmonによるクリプトジャッキングの検出

セキュリティ分析を行うアドオン Anomaly Detection System (ADS) と連携し、 Flowmonは、このようなクリプトジャッキングの攻撃特性を検出し、分析・検知することが可能です。

Flowmonはネットワークテレメトリデータを解析します。IPFIX形式のネットワークフローデータを使用し、脅威フィードや攻撃シグネチャによって補強されたデータを解析することで、詳細な事象の分析が可能となっています。 また、高度な検出アルゴリズムを採用し多角的な分析を行うことができ、一般的な脆弱性やCVEへの参照、MITRE ATT&CKフレームワークの詳細などを提供します。

Flowmonは、一般のIT基盤監視ツールとは異なり、ADSアドオンと連携することで主要なセキュリティイベントの検出が可能です。例えば、CPU使用率のダッシュボードでは、暗号通貨のマイニングによる使用率の急増を表示することができます。 さらに、Flowmonではイベントの概要と詳細な分析が行われます。DoS攻撃を装ったアクティビティなど、さまざまなイベントの概要を表示することができます。

Flowmonは、他のシステムとの直接的な統合が可能で、検知されたサイバー攻撃に関わる通信の、自動遮断の仕組みなどを任意に設定することも可能です。また検知された通信に疑われる既知の脆弱性の情報から、必要な適用パッチなどを特定いただくことが容易になります。 さらに、Flowmonの分析機能は、クリプトジャッキングの広範な影響を理解する上で役に立ちます。システム負荷や冷却要件、電力使用量などの影響を理解することで、適切な対策を講じることができます。同時に、攻撃者によるネットワーク内での横断的移動のリスクも把握することができます。 Flowmonは、IT部門がネットワーク上のクリプトジャッキング感染をより効果的に検出し、阻止するための情報をご提供します。

Flowmonによる暗号通貨マイニングを検出する機能の概要

以下の動画は、Progress社のソリューションアーキテクトによるビデオプレゼンテーションとなります。ここでご紹介している内容は、実際の事例研究に基づいており、DoSトラフィックなどの他の攻撃ベクトルによって隠蔽されている場合でも、Flowmonがクリプトジャッキングをどのように検出するかが解説されています。

※ この動画はFlowmon YouTubeチャンネルでご視聴いただけます。

終わりに

クリプトジャッキングは、ネットワークセキュリティにとって深刻な脅威であり、他の攻撃手法に紛れ、隠蔽を計る攻撃手法です。しかし、Flowmonは、このような高度なサイバー攻撃を検出し、分析し、実用的な洞察をご提供することができます。Flowmonは、企業がIT基盤のセキュリティを向上させ、クリプトジャッキングによる財務的および運用上の影響を軽減するのに役立ち、より安全で強固なIT基盤の構築・維持の実現をお手伝いいたします。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事：

• Flowmonコラム: 未知の脅威への対処
• Flowmonコラム: NDRによるリスク検知の実践

Flowmon製品に関する
お問い合わせはこちらからどうぞ