トレンドマイクロは7月13日、仮想通貨を採掘するツール「コインマイナー」をインストールさせるボット攻撃を確認したとして、同社のセキュリティブログで注意を呼び掛けた。SSH(Secure Shell)サービスを実行しているサーバやIoTデバイスが攻撃される可能性があり、コインマイナーがインストールされると「Monero」や「Ether」などの仮想通貨を採掘させられるという。

【その他の画像】

 今回確認されたボットは、SSHやTelnet、FTPサービスをエミュレートするように設計され、関連するポートを検索していた。特に特にSSHサービスが使用する22番ポートが利用されたという。

 利用可能なデバイスを見つけると、指定したURLからフィルをダウンロードするLinuxコマンド「wget」を実行、ダウンロードした不正スプリクトがコインマイナーをインストールする。さらにコマンドの実行スケジュールを管理する設定ファイル「crontab」にジョブを登録するため、デバイスを再起動しても仮想通貨の採掘が続けられる。採掘された通貨はそのまま攻撃者の利益になるという。

 トレンドマイクロによれば、IoTデバイスは計算能力が比較的低く仮想通貨の採掘には実用的ではないが、今回のようにボットを利用して拡散して、攻撃した一連のデバイスで採掘を行えば十分な利益を上げられる可能性があるという。一方で、同社は今回の攻撃についてはIoTデバイスを狙ったものかどうかは不明としている。

 ただしIoTデバイスを狙った不正な仮想通貨採掘は以前から確認されており、大規模なDDoS攻撃を行ったマルウェア「Mirai」のような例もある。IoTデバイスを対象にしたマルウェアがアンダーグラウンド市場で販売されていることも確認されているという。

 トレンドマイクロによれば、デバイスが不正な仮想通貨採掘をさせられている場合は、動作が普段より重いなどの兆候に注意することで気付けることもあるという。同社では基本的なセキュリティ対策を行うことで攻撃の影響を緩和することが重要だとして、デバイスのファームウェア更新や、強力なパスワードの設定、Webサイトや電子メールなど既知の攻撃経路への警戒などを勧めている。

トレンドマイクロ セキュリティブログより