セキュリティの
学び場

今回の解説ニュース

特定のクラウドサービスを狙ったマルウェアについて発表されています。暗号資産のマイニングやクリプトジャッキングを目的とした脅威の新たな手口について説明します。

今回の記事では、Huawei Cloudを標的としたLinux向けマルウェアの新たな手口について説明されています。マルウェアは、Huawei Cloud Linuxが持つセキュリティ機能の一つを無効化し、ECSインスタンスのパスワードをリセットするプラグインも含まれているため、攻撃者はHuawei Cloudの脆弱なECSインスタンスを標的にしていると推測されています。そして、今回の攻撃手口は、2020年にも見られたマルウェアの動作と酷似しており、関連性についても指摘されています。

さらに、マルウェアにはTorのプロキシサービスをインストールする特徴が挙げられており、マルウェアによる不正な通信が匿名化されることについても言及されています。Torとは「The Onion Router」の略で、ネットワーク通信の接続経路を匿名化するためのソフトウェアです。匿名化するために「玉ねぎ」の皮のように何重にも暗号化することから、IPアドレスに基づいて攻撃者を追跡することが困難になります。

特定クラウドサービスを狙ったマルウェアの特徴

今回発表されているマルウェアの特徴として「特定のクラウドサービスを標的にしていること」「別の攻撃者を排除しようとしていること」「何重にも解析できないように対策していること」が挙げられます。できるだけわかりやすく説明します。

まず、「特定のクラウドサービスを標的にしていること」については、先ほど説明した通りです。攻撃者が比較的新しいHuawei Cloudを標的にしている背景として、AWSやAzureと比べて実績が少なく、クラウドサービスの設定ミスが起きやすい現状が考えられます。攻撃者はこのような状況を鑑みて、あえて標的を絞ってきたのではないでしょうか。

次に「別の攻撃者を排除しようとしていること」については、マルウェアに感染した端末のリソースを独占しようとしていることが考えられます。具体的には、マルウェアが感染した端末のSSH鍵をすべて削除して自分の鍵のみを追加します。さらに、他の攻撃者と思われるユーザも削除し、自分のユーザを目立たない名前で追加します。そして、これらの設定が変更できないように制限しています。これらは、暗号資産のマイニングは多くのリソースを消費するために、他の攻撃者を排除することによって、より多くの利益を得ようとしていることが考えられます。

最後に、「何重にも解析できないように対策していること」については、先ほど説明したTorに加えて、プログラム自体も解析されないように難読化されています。より検出を困難にする投資に見合うだけの利益が期待できるのかもしれません。

過去の判例からみる「マルウェアの定義」

マルウェアとみなされる要件は「利用者の意図に反しているか」と「社会的に許容されない不正か」の2つを満たすかによって判断されているようです。コインハイブの裁判を振り返りながら説明します。

「コインハイブ裁判」の背景は

コインハイブのプログラムが設置されたWebサイトでは、閲覧者の端末で暗号資産のマイニングが行われ、管理者はマイニングされた暗号資産を手に入れることができます。このような状況に対して警察は、コインハイブを違法なマルウェアとみなし、Webサイトにコインハイブを設置した管理者を起訴しました。

コインハイブをWebサイトに設置する事がマルウェアの保管に？

刑法では、正当な理由なくマルウェアを作成したり、提供したり、保管したりすると処罰の対象になるとしています。つまり、コインハイブをWebサイトに設置することが、マルウェアの保管にあたるという解釈がなされたことになります。この点について被告が無罪を主張したため、裁判によって争われました。

結果は2つの要件を「満たさない」と判断

結論として、1審、2審、最高裁でも「利用者の意図に反している」と認められながらも、2審を除いて「社会的には許容される」として、コインハイブは違法なマルウェアではないと判断されました。最高裁では、コインハイブがWebサイトの管理者にとって適切なマネタイズ方法の一つであるため、社会的に許容できると認めたようです。

今回は、クラウドを狙ったマルウェアの新たな手口とコインハイブの裁判についてお届けしました。生活をより豊かにしていくために新しい技術は必要不可欠ですが、その技術が正しく使われるためにも、利用者のモラルがより強く求められるということになります。

音声で聴かれるかたはこちら