Texthelpのアクセシビリティプラグインが4,000以上のウェブサイトに暗号通貨マイニングコードをインストールした
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
日曜日の数時間、マンチェスターでごみ収集予定時間を確認していた人は誰でも、仮想通貨マイニングに加担していたことになる。マンチェスター市議会をはじめとする4,000以上のウェブサイトが、オープンソースの仮想通貨モネロをマイニングするコードに感染した。情報コミッショナー事務局(ICO)、米国裁判所のウェブサイト、一部のNHS機関、そして英国各地の地方自治体も被害を受けた。
これらのウェブサイトには共通点が一つありました。それは「Browsealoud」というプラグインです。英国企業Texthelpが作成したこのコードスニペットは、ウェブサイトに「音声、読み上げ、翻訳」機能を追加します。このソフトウェアは非常に人気があり、視覚障害やディスレクシア(失読症)のある人、そして英語を母国語としない人のための補助ツールとして利用されています。
しかし、この技術は侵害を受け、実際にはCoinhiveの仮想通貨マイナーがサイトに注入されていました。このマイナーはJavaScriptコードを挿入し、コンピューターの処理能力(CPU経由)を利用して仮想通貨Moneroを生成します。
プラグインの侵害を受けて、ICOはウェブサイトを閉鎖し、他の企業も慌ててセキュリティシステムの強化に着手しました。「ポルノサイトからトレントサイト、宿題の手伝いを謳う子供向けサイトまで、あらゆるサイトでこうしたマイニングスクリプトが見られます」と、Malwarebytesの主任マルウェアインテリジェンスアナリスト、クリス・ボイド氏は述べています。「非常に蔓延しています。」
ボイド氏によると、Browsealoudのケースは、ハッカーが複数のウェブサイトに同時にマイナーをインストールした可能性のある最初の事例の一つである可能性が高いという。WordPressのウェブサイトとEternalBlueの脆弱性は、以前にもMoneroマイナーの拡散に利用されてきた。
BrowsealoudのスクリプトはAmazon Web Servicesでホストされ、そこで編集されていました。Texthelpはプラグインの使用を停止し、声明の中で2月14日までオフラインにすると述べました。最高技術責任者(CTO)のマーティン・マッケイ氏は、このプラグインが「サイバー攻撃」を受けたと述べました。
「これはおそらく、アカウントホスティングに不適切な管理が行われた結果でしょう」と、Twitterでこの問題を最初に報告したセキュリティ研究者のスコット・ヘルム氏は述べています。現時点では、誰がTexthelpのコードを標的にしたのかは不明です。
「攻撃者は意図的に目立たないようにしていたのだと思います」と彼は言う。この暗号通貨マイナーは、コンピューターのプロセッサ能力の60%しか使わないように設定されていた。もし100%使っていたら、感染したサイトにアクセスした人はデバイスがフリーズしていたはずだ。「彼らが暴走して私たちを地球から消し去らなかったのは、おそらくレーダーをかいくぐろうとしていたからでしょう」とヘルメ氏は付け加えた。
続きを読む: 2018年に注目すべきビットコインの代替通貨
ソフトウェア導入の背後にいる人物(あるいは複数の人物)が巨額の利益を得ようとしていたとは考えにくい。そのためには、長期間にわたって膨大なトラフィック量が必要だったはずだ。ボイド氏は、彼らは概念実証をしていたのかもしれないと述べている。「真剣に金儲けをしようとしていたのではなく、これらのスクリプトでどんなクレイジーなことができるか試してみたかったのです。」
しかし、この攻撃はもっと深刻なものになりかねなかった。Browsealoudプラグインは、それを利用する企業にとってソフトウェアサプライチェーンの重要な部分であり、こうしたサードパーティ製ソフトウェアへの攻撃は目新しいものではない。2017年夏にウクライナと米国で拡散し、感染拡大に伴いコンピューターに障害をもたらしたマルウェア「NotPetya」は、多くの企業が利用する会計ソフトウェアのアップデートを通じて拡散した。2017年初頭には、シンガポールの大学ネットワーク上のコンピューターがサプライチェーンを通じて標的にされた。中国と関連のあるハッカー集団も同様の手口を用いている。
「政府のサイトや銀行をハッキングしようとするなら、おそらく無駄な努力になるでしょう。より弱いサプライヤーを狙うのです」とヘルメ氏は言う。編集されたBrowsealoudのコードは、CPUから直接金銭を搾取しようとするのではなく、より悪質で個々のユーザーを標的にしていた可能性もある。
Texthelpは声明の中で、個人情報は盗まれていないと述べた。「もっとひどい状況になっていた可能性もあった」とボイド氏は述べている。ボイド氏とヘルメ氏は共に、数千ものウェブサイトにマルウェアが簡単にインストールされていた可能性があると主張している。
「彼らは個人情報を盗み、様々なウェブサイトで人々のアカウントを乗っ取り、デバイスにマルウェアをインストールしたり、キーロガーを仕込んだりできたはずです」とヘルメ氏は付け加えた。「あなたのコンピューターをボットネット上のボットに変えることさえできたはずです。」
ボイド氏にとって、今回の攻撃は、ファイルをロックし、復号前に身代金を要求するランサムウェアからの脱却が進む傾向の高まりを示すものでもある。マルウェアバイツは過去6ヶ月間でランサムウェアの減少を確認しており、これは暗号通貨の価格上昇と関連している可能性があるとボイド氏は述べている。
「ビットコインの価値はここ6、7ヶ月で急騰したため、要求額を変更できないランサムウェアファイルが多く出回っています」とボイド氏は言う。「ランサムウェアファイルで大金を巻き上げるよりも、マイニングスクリプトを使った長期的な戦略を狙っているのです。」
この記事はWIRED UKで最初に公開されました。
