THE ZERO/ONEが文春新書に!『闇ウェブ(ダークウェブ)』発売中
発刊:2016年7月21日(文藝春秋)
麻薬、児童ポルノ、偽造パスポート、偽札、個人情報、サイバー攻撃、殺人請負、武器……「秘匿通信技術」と「ビットコイン」が生みだしたサイバー空間の深海にうごめく「無法地帯」の驚愕の実態! 自分の家族や会社を守るための必読書。
公衆無線LANを悪用した暗号通貨マイニング術
January 19, 2018 08:00
by Zeljka Zorz
何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。
一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを実行させること、あるいはクリプトジャッキング(cryptojacking)のスクリプトを実行させることだ。
そして先月ブエノスアイレスのスターバックスで発見されたのは、無料のパブリックWi-Fiネットワークのユーザーに提示されるウェブページにマイニングコードを注入するという手法だった。
この事件によって、バルセロナを拠点とするソフトウェア開発者Arnau Codeは「そのような攻撃を自動化する方法の研究」に駆り立てられることとなった。
閲覧ページにスクリプトを書き込む「コーヒー・マイナー」(CoffeeMiner)
この攻撃の第一段階は、ユーザーのデバイスとWi-Fiルーターの間に攻撃者のマシンを割り込ませることにより、ウェブトラフィックを傍受、送信、変更できるようにすることから始まる。
この図のように、被害者のマシンとルーターの間に入り、ARPスプーフィングを実行する。攻撃者は、自分のMACアドレスがデフォルトゲートウェイ(ルーター)のIPアドレスに関連づけられるようにするため、偽装されたARPメッセージをローカルエリアネットワークに送信する。成功すれば、そのIPアドレスに向けたあらゆるトラフィックは、本来のWi-Fiルーターではなく攻撃者へと送られる。
以前は、ユーザーのCPUリソースで仮想通貨採掘を行う「Coinhive」を利用していたため、攻撃者は自分のマシンにHTTPサーバーをセットアップしていた。
Arnau Codeはmitmproxyを利用することにより、そのマシンを通るトラフィックを分析し、またリクエストされたHTMLページに1行のコードを注入するだけで、それを変更することができた。注入されたコードは、そのJavascriptの暗号採掘コードをサーバーから「呼び出す」。
Arnau Codeの最終目的は、完全に自律した攻撃をWi-Fiネットワーク上で実行するスクリプトの作成だったが、開発は一旦中止した。彼が作成した「コーヒー・マイナー」を利用するには、まず攻撃者はすべての被害者のIPアドレスのテキストファイルを手動で準備しなければならない。
しかし、それ以外のことはこのスクリプトが行う。つまりルーターとターゲットのIP取得、IPフォワーディングとIPテーブルの構成、すべての被害者に対するARPスプーフィング、暗号採掘プログラムを提供するためのHTTPサーバー、mitmproxyの開始、そして必要なスクリプトのウェブトラフィックへの注入だ。
彼は現実のシナリオで攻撃をテストしており、それは正常に動作した。しかし、Arnau Codeの概念実証コードを「現実の攻撃」で使用することがないようにと助言している──この開発者は純粋に「研究目的で」これを作成したという点に注目するよう述べた。
「今後のバージョンでは、検出されたIPアドレスをコーヒー・マイナーの犠牲者リストに追加するために自律的なNmapスキャンの機能を追加する可能性がある。もう一つは、ユーザーがHTTPS経由でリクエストできるウェブサイトに対しても確実にインジェクションを行えることを確実にするためにsslstripを追加するかもしれない」と自身のブログで述べている。
翻訳:編集部
原文:How to make public Wi-Fi users mine cryptocurrency for you
※本記事は『Help Net Security』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。
ニュースのポイント(THE ZERO/ONE編集部より)
以前「こっそり仮想通貨をマイニングする侵入者たち」という記事をTHE ZERO/ONEで紹介した。これはWebページに仮想通貨採掘プログラムを攻撃者が密かに仕込み、ユーザーがページを閲覧すると、利用者の端末リソースを無断で使って仮想通貨のマイニングを行う手法だった。
この方法ではWebページの改竄が必須であり、これが攻撃者にとってはハードルが高い作業となる。しかしこの記事にあるコーヒー・マイナーは、「無線LANのアクセスポイント」と「利用者」の通信に入り、中継するWebページのデータに仮想通貨採掘プログラムを流し込み、閲覧者に採掘させる。
そもそも公衆無線LANが利用できるような場所は、不特定多数の人間が出入りできるので物理的な侵入が容易である。そして無線を利用することで、物理的な作業を必要とせずにアタック可能だ。被害者も「カフェの無線LANアクセスポイントと自身の端末に攻撃者が割り込んで、無断で仮想通貨採掘プログラムを送り込んでくる」とはなかなか想像しないので、その意識の低さも攻撃者にとってプラスとなる。
公衆無線LANの危険性については、いろいろな指摘がされてきた。今回のArnau Codeが作成した「コーヒー・マイナー」も、公衆無線LANの危険性の1つに加えられるだろう。
Zeljka Zorz
セキュリティ情報サイト
『Help Net Security』編集長
https://www.helpnetsecurity.com/
Twitterアカウント
https://twitter.com/zeljkazorz
Must Popular
-
1
日本人マルウェア開発者インタビュー(前編)プログラムの「悪意」とは
October 26, 2017
2
PacSec 2017レポートソフトバンクPepperが危険な理由
November 10, 2017
3
日本人マルウェア開発者インタビュー(後編)攻撃者が考える「良いセキュリティ専門家」とは?
October 27, 2017
4
こっそり仮想通貨をマイニングする侵入者たち
October 20, 2017
5
スウェーデンの交通機関がDDoS攻撃を受け運航不能に陥る
October 25, 2017
-
6
中国でビットコイン採掘が活発な理由
October 30, 2017
7
連載「セキュリティエンジニアの道」 #01 はせがわようすけ氏世界平和のためにセキュリティをやっています
December 8, 2017
8
ハッキングスキルはお金で解決 サイバー犯罪のコストと利益
November 22, 2017
9
就活はハッキング!? 伝説になった中国人ハッカーの就職活動
November 27, 2017
10
5キロ先のAPに接続を試みる無線LANハッカー
November 20, 2017
