止まらない「クリプトジャッキング」 暗号通貨の採掘がもたらす「狂騒曲」の行く末

 

 ウェブサイト訪問者の端末を利用し、無許可で暗号通貨の採掘(マイニング)を行う「クリプトジャッキング」。この問題はユーザーのデヴァイスの処理能力をかすめ取るだけでなく、ブラウジング体験そのものにも影響を及ぼす可能性がある。

IMAGE: GETTY IMAGES

 ウェブサイト訪問者の端末を利用し、無許可で暗号通貨の採掘(マイニング)を行う「クリプトジャッキング」と呼ばれる手法 が問題になっている。

この問題だが、マイニングを行うサイトの運営側にも一応それなりの言い分がある。サーヴィスを提供する資金を得るために、誰も使っていない“資源”を利用して広告収入への依存を減らす。つまり、広告を少なくする代わりにユーザーのパソコンを「ちょっとお借りしているだけ」だというのだ。

 クリプトジャッキングは、ウェブサイトにJavaScriptのコンポーネントを埋め込むことで、閲覧に使われているデヴァイスの処理能力を暗号通貨(たいていは「Monero」だ)の採掘に利用する。個々のデヴァイスの貢献はほんのわずかなものだが、塵も積もればで、訪問者すべての力をかき集めてある程度の時間にわたって採掘を続ければ、実際に儲かるというわけだ。

 こうした仕組みについて、ユーザーは何が起きているのかまったく気づかないかもしれない。理論上はWin-Winということになるが、もちろん実際にはそんなことはない。

 クリプトジャッキングは、「Coinhive」が提供する専用ツールやその亜種のおかげでネットの世界に広まった。だが、広告うんぬんというもったいぶった理屈を実践しているサイトはほとんどない。

 その代わりに、この技術はユーザーのハードウェアと電力を無断でかすめ取るのに使われ、多くのマルウェア対策ソフトや広告ブロッカーは、これをブロックするようになっている。これまでのところ、クリプトジャッキングをまっとうなものにしようとする努力は、大半が機能していない。

デヴァイスに問題が生じた事例も

 クリプトジャッキングは、訪問者が何かをダウンロードしなくても動作する。サイトを訪れた瞬間に始まって効率的に動作するのだ。さらに悪質なことに、まったく無関係のサイトにもこっそりとコンポーネントを忍び込ませ、そのサイトのトラ フィックから暗号通貨を生み出すことも行われているという。

 例えば「Politifact.com」「Showtime.com」といったサイトがハッキングされ、不正なソフトウェアを仕かけられた。昨年12月にはブエノスアイレスのスターバックスで、公共Wi-FiのユーザーたちのデヴァイスをMoneroの採掘に利用できるよう何者かが細工していたことが発覚した。これはWi-Fiの通信速度が遅くなっていたことを客が発見したものだ。

 こうした事例が注目される一方で、研究者らはクリプトジャッキングの大半はサイト運営者による意図的なもので、その方法は懸念を呼ぶような向きへ進化していると指摘する。

 サイバーセキュリティ企業ソフォスのポール・ダックリンは、「Coinhiveの利用は11月後半から12月前半にかけて安定して伸びていました。背景にはおそらく、暗号通貨の高騰が続いていたことがあります」と言う。「未知のサイト運営者の動機を推測することは難しいのですが、11月のデータの分析に基づけば、クリプトジャッキングをしていたサイトのほとんどはこれを意図的に行っており、しかもユーザーのCPUを可能な範囲で最大まで占有していました」

 CPUに大きな負荷がかかる状態が続けば、いずれはデヴァイスに問題が生じる可能性もある。「Laopi」というAndroid OS向けのマイニング用マルウェアはCPUを極端に酷使するため、熱でバッテリーが変形した事例も報告されている。

 またクリプトジャッキングは新しく、ハッカーたちが少しでも多くの取り分を得ようとさまざまな工夫を凝らしている分野だ。例えば、Coinhiveのツールは利用料がかかるため、サイトの運営者はこれを避けるためにJavaScriptが呼び出すマイニング用の仲介サーヴァーを独自にホストしている。

 こうすることで、マルウェア対策ソフトや広告ブロックツールもすり抜けることができる。なぜなら、セキュリティソフトはCoinhiveと直接やりとりしているサーヴァーをリストアップすることはできても、果てしなく数が増えていく独立サーバーをすべて追いかけるのは容易ではないからだ。

 昨年11月には、サイトの閲覧を止めた後でもマイニングが続いている事例が見つかった。セキュリティソフトのマルウェアバイトによると、「ポップアンダー」と呼ばれる手法が使われており、クリプトジャッキングのサイトにアクセスするとWindowsのタスクバーの時計の影に隠れてブラウザの新しいウィンドウがこっそり開かれる。

ツール提供側とセキュリティ企業のいたちごっこ

 Coinhiveはデヴァイスを無断で利用するのは問題だとの批判を受け、「AuthedMine」と呼ばれる新たなツールをリリースした。AuthedMineでは、マイニングの実施にはデヴァイスの許可が必要になる。

 ただ研究者たちは、許可を得るというステップを踏むことで一応の合法性は確保したにしても、AuthedMineは影で自動的にマイニングを始める以前のツールほどは普及していないと指摘する。また新しいツールでも、ハッカーたちが何か怪しげなことを始めるのを完璧に阻止するのは、不可能ではないにしても難しいだろう。

同社は事態の収拾を図るための努力が身を結んでいないことを認めている。セキュリティー対策ソフトや広告ブロックツールは、AuthedMineもマルウェアとして扱っているというのが理由のひとつだ。

 Coinhiveは『WIRED』US版の取材に対し、「AuthedMineは現時点では部分的な成功としか呼べません」としたうえで、次のように説明している。「広告ブロッカーは大半がAuthedMineをブロックしていますし、(ノートンのような)ウイルス対策ソフトウェアもAuthedMineをコンピューターに対する脅威として検出します。これは以前に使われていたツールの代わりに新しい製品を使ってもらおうという弊社の目標にとって逆効果で、どう対処するか検討中です」

 例えば、ソフォスはクリプトジャッキング関連のものはすべて「寄生」マルウェアとみなす。Google ChromeのベースになったオープンソースのChromiumなどのブラウザの開発元も、クリプトジャッキングの取り扱いや、ユーザーを保護するためにブロックすべきかを検討しているという。Operaは12月末、マイニング関連のスクリプトを防ぐために標準の広告ブロックツールに「NoCoin」という機能を追加することを明らかにした。

ウェブブラウジング体験にも影響

 クリプトジャッキングが軌道に乗るにつれ、この手法はこれまで時間をかけて広まってきたさまざまなマイニング技術のある種の概念上のスタンダードとしての機能を果たすようにもなった。Coinhiveはこれを、「CAPTCHA」のようにスパム対策のメカニズムとして用いることすら提案している。

 根底にあるのは、90年代から存在するプルーフ・オブ・ワークスと呼ばれる考え方だ。これはサーヴィスをリクエストしてきた者に対し、それが人間かどうかをチェックする代わりにCPUに負担をかける演算を行わせ、結果としてサイトを閲覧するといったサーヴィスの実行速度を下げるというものである。

 サーヴィスを手に入れるために支払わなければならない代価によって、そのサーヴィスの経済的魅力が失われる。人間のユーザーにとっては現行のCAPTCHAのようなテストよりは煩わしくないかもしれないが、代わりにデヴァイスの処理能力を差し出していることになる。また、スペックの低い古いマシンでは、サーヴィスを得るだけの演算をこなすのにかなりの時間がかかる可能性もある。

 きちんとした目的があろうが単なる詐欺だろうが、こうしたマイニング技術が複雑化するにつれ、ネットユーザーにとってブラウジング体験が変貌していく可能性がある。モバイルセキュリティのWanderaによると、昨年10月から11月の1カ月だけで、最低でも1回はクリプトジャッキングに遭遇したモバイルデヴァイスの数は287%増加した。

 Wanderaのダン・カッドフォードは、クリプトジャッキングによって、ウェブブラウジングをしたり情報・サーヴィスにアクセスしたりする際には、デヴァイスの処理能力がこれまで以上に重要となる可能性があると説明する。「わたし個人としては、クリプトジャッキングを合法に使用するというアイデアは気に入っています。しかし将来的には、こうしたパズルを素早く解ける者がより早くアクセスを得られるという状況になるかもしれません。CPUの処理能力が高いほど、みんなより早くサイト内の行きたいページに進むことができる。デヴァイスの性能によって扱いが違ってくるということは起こり得ます」

 プルーフ・オブ・ワークスのように、クリプトジャッキングにまつわる汚名を返上し、この技術を合法なものにするアプローチは存在する。しかし現状のようないかがわしい使われ方では、ブラウザー内マイニングによって、ネットでの優先順位を得るために対価を支払う必要が出てくるかもしれないことが懸念される。オンラインサーヴィスの利用では、より高い処理能力を提供できる者が優先権を得るのだ。