常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け「コインマイナー」の意味

コインマイナーとは、マルウェアの一種で「仮想通貨発掘プログラム」とも呼ばれています。
コイン（＝仮想通貨）のマイナー（＝採掘者）という名のこのマルウェアが狙うのはビットコインなどの仮想通貨ですが、コインマイナーを拡散する者はどのようにして利益を得るのでしょうか。また、コインマイナーに感染した場合はどのように検知し削除すればよいのでしょうか。

コインマイナーの仕組み

コインマイナーの仕組みの前に、コインの採掘（マイニング）について確認しましょう。
例えば、ビットコインの場合、ビットコインの各取り引きデータを「トランザクション」と呼び、複数のトランザクションをまとめて一つの「ブロック」を作ります。
ブロックには、いつ・誰が・どのくらいの量のビットコインを取り引きしたかといった情報が書き込まれていきます。
その取り引き情報を第三者がチェックして承認する仕組みです。この「取り引きを承認する作業」がマイニングで、取り引き情報を承認したマイナーには報酬が支払われます。
コインのマイニング自体には違法性はありません。
一方、マイニングには大量の計算が必要で、高性能な専用ハードウェアを大量に用意して誰よりも早く計算を終えないと報酬は受け取れません。
そこで、悪意ある者はコインマイナーというマルウェアを使って、見知らぬユーザーのコンピュータを感染させマイニングを代行させるのです。

コインマイナーと他のマルウェア・ウィルスとの違い

マルウェアやウィルスの目的は、標的とするコンピュータに感染し、情報収集やファイルの破壊などさまざまな攻撃活動を行うことです。
一方、コインマイナーの目的は、感染したユーザーのコンピュータを悪用して勝手にマイニングさせることです。コインマイナーに感染すると、自分のコンピュータが勝手に使われて他人のためにマイニングが行われます。
コインマイナーはデータの破壊などの攻撃活動を行わない点が、他のマルウェアやウィルスとの大きな違いです。

コインマイナーの侵入経路

コインマイナーの侵入経路は主に2つあります。
1つ目の手法が「スパムメールの添付ファイルや不正なWebサイトからのダウンロード」、2つ目が「Webサイトに不正なスクリプトコードを埋め込むクリプトジャッキング」です。

クリプトジャッキングでは、不正なスクリプトコードが埋め込まれたWebサイトをユーザーが閲覧すると、マイニング実行の指示が出される仕組みです。

一方、2019年度後半から注目を集めているのが、「プロセスハロウイング（Process Hollowing）」の手法を利用して検出を回避するコインマイナーの存在です。
プロセスハロウイングとは、正規プロセスの中をくりぬいて、不正なプロセスのコードと入れ替えるプロセス隠蔽の手法です。これにより、手動のスキャンや検出を回避できます。

対策

コインマイナーに感染した場合、どのように検知と削除をすべきでしょうか。
コインマイナーへの対策として、以下が挙げられます。
 セキュリティ対策製品の定義ファイルを最新にし、定期的にスキャンを実行する
 スクリプトをブロックするブラウザ拡張機能を利用する
ブラウザでスクリプトの実行をブロックすることで、クリプトジャッキングを利用するコインマイナーの動作を防げます。
 OSやアプリのセキュリティパッチを適用する
 エンドポイントセキュリティ製品を導入する
 DNSで出口チェックを行う

クラウドベースで様々な製品・ソリューションが提供されているので、是非一度チェックしてみてください。

二段目　ITが苦手な経営者向け

とある製造会社の社長さんが、情シスの真板さんと話をしています。
社長：真板さん、工場内のパソコンがやたらと動作が遅くなったというんだ。どうしてだろう？つい半年前に購入したばかりなのに・・・

真板：動作が遅いという以外の不具合はありますか？例えば、ファイルが壊れたとか、まったく操作ができなくなったなどです。

社長：いや、通常どおりパソコンで作業はできているから理由が分からないんだ。僕も見てみたけど、動作がとにかく遅くて、その割には後ろでパソコンがフル回転しているような気もするし・・

真板：パソコン自体は攻撃しないマルウェアへの感染も疑った方が良いかもしれませんね。攻撃性がなく、目的は他人のコンピュータのCPUなどリソースの利用のみというマルウェアも存在します。

社長：他人のコンピュータを利用して何をするの？

真板：例えば、コインマイナーは、仮想通貨のマイニングを目的としています。仮想通貨を取り引きしても、銀行と同じでその取り引きが正当なものか第三者がチェックする必要がありますよね？仮想通貨の取り引きではそのチェックと承認の作業を「マイニング」と言います。マイニングする人すなわちマイナーには「作業を分担した」ということで、報酬が支払われる仕組みなんです。

社長：なるほど。でも、マイニングと他人のコンピュータの利用とは何の関係があるの？マイナーが自分のコンピュータでマイニングすれば良いじゃない。

真板：それが、この「マイニング」には膨大な計算が必要で、大量のコンピュータと処理能力が必要なんです。マイニングを行っている場所は「マイニング工場」と呼ばれているくらいですから。そこで、悪意のある者は「他人のコンピュータを感染させて、自分の代わりにマイニングをやらせてしまおう」と考えました。マイニングを代行させるために生まれたマルウェアがコインマイナーです。なので、これだけであればCPUのリソースを奪われる程度なので、パソコンの動作が遅くなりますがとても気が付きにくいです。しかしながら、これに感染しているということは他のマルウェアにも感染する可能性があるということなので、放置はできません。

社長：悪い奴らもいるものだ！コインマイナーに感染しないために、我が社でできる対策は何だろう？

真板：まずは、セキュリティ対策製品で定期的にコンピュータをスキャンすることと、使っているソフトや機器のセキュリティパッチは必ず適用することです。

社長：すでに行われているはずだけど、もう一度、指示をしておこう。

真板：さらに、エンドポイントセキュリティ製品を導入することも検討の余地ありです。

社長：エンドポイントセキュリティ製品というものが何をしてくれるの？

真板：挙動監視機能でパソコンの不審な挙動を検知してくれます。プロセスの中身をくり抜いて不正なプロセスのコードと入れ替えるというコインマイナーも登場しています。外見は正規のプロセスで、生成されるファイルも正規のファイルになるので、ファイルを検知するのが困難なのです。不審な“動き”をするかどうかで不正なものかを判断するのが挙動監視機能です。他にもDNSで不正な通信が出ていくのを止めるなどもあります。

社長：サイバー犯罪者もあの手この手で検知を逃れているんだね。今年度の予算にセキュリティ対策強化費を追加しておこう。

三段目　小学生向け

今日は「コインマイナー」という悪者についてのお話です。このコインマイナーは、本人が気が付かない間にこっそりとパソコンを使われているところに問題があります。
例えば、皆さんはもう少し大きくなったらアルバイトをすることもあるでしょう。とあるアルバイトではパソコンを使って絵を書いてお金をもらっています。自分の書いた絵の枚数におうじてアルバイト代がもらえる仕組みです。なので、自分が書いた枚数以上にはアルバイト代はもらえません。
そんな中、とあるアルバイトの子は悪いことを思いつきました。「他アルバイトの人が描いた絵も自分のパソコンに送ってくるようにしたら、その分だけ余計にアルバイト代がもらえるようになるかなぁ…。」
この悪いアルバイトの子が作ったのは、「データ転送プログラム」。このプログラムをもらってしまった人は、絵を書いているパソコン内の特定のデータを検索され、気が付かないうちにこっそりとデータを送られてしまうのです。「データ転送プログラム」をもらってしまった人には何が起きているかはわかりません。
コンピュータの世界にはこの「データ転送プログラム」のようなマルウェアと呼ばれるプログラムがあり、ここ最近よく目にするのが「コインマイナー」なのです。
「データ転送プログラム」が作業者に気が付かれないように実行されるように、この「コインマイナー」もパソコンの所有者に気が付かれないようにこっそりと実行されます。
「コインマイナー」をもらってしまったかどうかに気づく方法は、 “いつもと違うことが起こっている”という動きの変化に注目することです。
このようなことからコンピュータの世界では、“いつもと違うことが起こっている”かどうかで悪いものかどうかを判断する技術が注目を集めています。

さて、皆様のご理解は深まったでしょうか？

【執筆：編集Gp　近藤真理】