クリプトジャッキング

Cryptojacking 攻撃手法

侵害したWebサーバーのCPUを暗号通貨マイニングに悪用する攻撃。

概要

クリプトジャッキングは、攻撃者が侵害したWebサーバーやクラウドインスタンスのCPU・GPU資源を、暗号通貨(Monero等)のマイニングに不正利用する攻撃です。被害者は電気代・クラウド利用料の急増、Webサーバー応答の遅延、機器の寿命短縮といった形で損害を被ります。

代表的なマルウェアとしてXMRig(Moneroマイナー本体)、Kinsing、TeamTNT、WatchDog等が知られ、いずれも侵害後にcronやsystemdに自身を登録し、再起動後も自動起動するよう設計されています。CPU使用率が常時90%以上に張り付く、知らないプロセス名(xmrig, kinsing, kdevtmpfsi等)が動作している場合は強い疑いがあります。

対策は (1) 侵害経路(脆弱なアプリ・SSH・露出した管理画面)の根本対処、(2) 不審プロセスの定期検知、(3) cronとsystemdの監視、(4) 出口通信先のブロック、です。マイナー単独を停止しても再投入されるため、永続化機構ごと除去する必要があります。

Scanrollはこう守る

Scanrollは、Webサーバー上のプロセス名・CPU使用状況・cronエントリ・実行ファイルを定期スキャンし、xmrig・kinsing等の既知マイナーや、CPU高負荷を継続する不審プロセスを検知します。発見時は通知に加え、永続化箇所(cron・自動起動)の特定情報も提供します。