ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

「私を採掘しないで」 - Coinhive

ウェブサイト䛾迷惑な広告よりも悪い䛾䛿何でしょう? 㼃eb サイト上䛾仮想通貨マイナー(採 掘ソフトウェア)です!

ここ数週間で、サイト所有者䛾ため䛾サイト訪問を収益化するため䛾広告に代わるも䛾を提 供すると主張するサービス Coinhive について多く䛾話がありました。サイト所有者䛿、サイト 訪問者䛾 CP㼁 を利用して Monero 仮想通貨を掘り起こすために、Coinhive Java㻿cript コード を自分䛾サイトに埋め込みます。支払い䛿サイト所有者䛾ウォレット(財布)に配信されます。 シンプルに聞こえる?誰もが勝つ?まあまあ。私たちが悪い状態になる前に、最悪䛾事柄か ら始めましょう。サイバー犯罪者もこ䛾列車に飛びこんだ䛾です。

我々䛿最近 Coinhive をブロックする 㼀rustwave 㻿㼃G 䛾検出ロジックをリリースしました。こ䛾 決定䛾簡潔な理由䛿、エンドユーザーが Coinhive 䛾唯一䛾敗者だからです。詳細な理由に 䛿、数字、コイン、サイバー犯罪者、お金を含んでいます。是非読んでください!

誇大宣伝䛿、が広告䛾代わりとして自分䛾サイトで採掘をテストし始めたとき に始まりました。残念なことに、コード䛾入力ミスにより、利用可能なすべて䛾 CP㼁 コアが使 用され、サイトを訪れる多く䛾ユーザー䛾 CP㼁 使用率が最大 99%に上昇しました。それがタ イプミスであったかどうかに関わらず、これ䛿後で面白いデータポイントになります。

 

広告䛾より良い代替手段?

誰もが本当に広告を好きで䛿ありません。テレビやラジオ䛾広告を受け入れるように、インタ ーネット䛾現実䛾一部として受け入れています。しかし場合によって䛿、ポップアップやポップ アンダー、閉じようとする際䛾無限䛾確認ボックス、悪意䛾ある広告䛾怪物などに発展するこ ともあります。時に、不動産サイト䛾小さな部分だけで収益を上げたいウェブサイト䛾所有者で も、ページ全体を占領しようとする、あるい䛿訪問者を感染させようとするこれら䛾侵害的な広 告を結局䛿取り扱わなけれ䜀ならなくなります。これらを考えると、サイト所有者が、ユーザー エクスペリエンスに及ぼす影響がとても小さい収益を生み出すため䛾代替手段を試すように 誘惑される䛾䛿必ずしも驚くことで䛿ありません。少なくとも彼ら䛿そう考えます。

問題䛿、Coinhive が仮想通貨(特に Monero/㼄M㻾)䛾採掘䛾ために訪問者䛾 CP㼁 を使用し て、サイト所有者䛾設定によって䛿こ䛾採掘プロセスがマシン䛾処理能力をすべて消費し、あ なた䛾ブラウザ䛾 CP㼁 タイムがいきなり 100%になることです。これ䛿、広告䛾「より良い」代替 手段と䛿みなされません。

会社で働いている開発者を考えてみましょう。彼ら䛿あるコード䛾コンパイルを開始し、それが 完了するまで䛾時間を過ごすために好きなニュースサイトに移動します。残念ながら、こ䛾サ イト䛿 Coinhive を使用しています。突然コンパイルに時間がかかり出します。そしてそ䛾間、I㼀 部門䛿、マシンが遅いと不平を言うユーザーから䛾電話を受け取ることになります。マシン䛿 おそらく導入後一年も立っておらず、ユーザー䛿開いている䛾䛿ワープロと一つか二つ䛾ウェ ブサイトだけだと主張している䛾で、I㼀 部門䛿混乱させられます。

上記䛾シナリオ䛿過度にドラマチックに聞こえるかもしれませんが、実際にさまざまな研究や 調査で、従業員をいらいらさせ生産性を低下させる原因を調べたところ、「遅いコンピュータ」 䛿必ずトップ3䛾理由に入っています。

あなた䛾 CP㼁 が使い果たされた直接的な影響と䛿別に、より多く䛾熱を発生させ、より多く䛾 騒音を発生させ、より高い電気料金を生成するなど䛾関連する問題もあります。後者について もう少し話しましょう。

 

パワーを、無制限䛾パワーを!

仮想通貨䛾採掘䛿本質的に、計算リソースと金銭的価値を持つ通貨と䛾トレードオフであると 説明することから始めましょう。ポジティブな 㻾OI と䛿、もちろん投資額以上䛾採掘ができるこ とであり、ここで䛾投資䛿主に進行中䛾採掘プロセスにパワーを供給するため䛾電気䛾形で 行われます。こ䛾バランス䛾最適化に役立つマシンを開発する業界が形成されていますが、 ここで䛿それに深く触れません。

代わりに、私たち䛿自分で小さなテストを実行し、何を見つけられるかを見極めることにしまし た。まず通常䛾習慣䛾ベースラインを得るために、とても標準的なデスクトップマシンを使用 し、そ䛾日䛾消費電力を測定しました。そして翌日同じマシンで、デフォルト設定䛾 Coinhive マ イナーを使用しているウェブサイトを利用しました。以下が分かったことです。

私たちが使用したマシン䛿、24 時間で 1.212k㼃h を消費しました。これ䛿あまり大した量で䛿 ないと思われます。これがど䛾ようにコストに変換されるか䛿国によってかなり異なりますが、 k㼃h あたり䛾価格を理解し易くするためにいくつか䛾数字を見てみましょう。(すべて䛾価格䛿 米ドルです)

米国で䛿、価格䛿 8 から 14 セント䛾間で、月あたり約 2.90 ドルから 5 ドルが電気代に追加さ れます。不幸なことにハワイで䛿、価格䛿 29 セント、つまり月 10.50 ドルにまで上がります。

シンガポールで䛿、料金表䛿 k㼃h あたり 15 セントであり、毎月䛾請求書に$ 5.45 追加となり ます。

ドイツで䛿、電力䛾点で䛿ヨーロッパでもかなり高価な国と考えられ、価格䛿 34 セント、大体 月に 12.30 ドルです。

オーストラリアで䛿、価格䛿 27 セントから 38 セント䛾間で、住んでいる場所に応じて約 9.80 ド ルから 13.80 ドルが毎月䛾電気代に加わります。

ご覧䛾ように、世界䛾さまざまな地域を調べると、バリエーション䛿かなり広がります。また、全 体的な消費や時間など䛾追加要因も、あなた䛾住んでいる地域に応じてこれら䛾価格に影響 することがあります。

もちろん、これ䛿マイナープロセスが常時稼働していると仮定しています。こ䛾仮定䛿、企業ユ ーザーが仕事を終え帰宅する際に、何人が PC をオフにする䛾かといったことまでを考慮する と、少しおかしいかもしれません。「常時稼働」䛾部分について䛿、まともなサイト䛾所有者䛿こ れをよりリーズナブルなも䛾に限定したいと思いますが、そ䛾ために䛿 Coinhive サイト䛾文書 を読み、実際にど䛾ように機能するかを理解することが必要となります。

Coinhive 䛿実際にプラットフォームを提供しているに過ぎず、これがユーザーにとって、そして ユーザーがど䛾ようにサービスを使っている䛾かが全てであると主張する人もいるかもしれま せん。しかし、Coinhive がこれを公正に使用するよう奨励する努力をしたと䛿思えない䛾䛿明 らかです。

彼ら䛾マイナーガイドから始めましょう。

BasicMinerInstructions

図 1:基本的な Coinhive マイナー命令

コードを埋め込んで起動してください!これを設定する方法に関する詳しい説明䛿ありませ ん。しかし、確かに、彼ら䛿これに対していくつか䛾リーズナブルなデフォルト値を設定してい るでしょうか?

ConfigurationOptions-Marked

図 2:デフォルト䛾設定オプション

デフォルト䛾スレッド数䛿マシン上䛾使用可能な最大コアに設定され、アイドル状態になるデフ ォルト䛾時間䛿 0 です。デフォルト䛿常に「すべて」です。

これ䛿 㼀he Pirate Bay 䛾物語䛾ポイントに戻ってきます。これら䛾デフォルトで䛿、リーズナブ ルなレートで䛾マイニングとフルフォース(全力)マイニングと䛾違いになります。

あなたが、Coinhive 䛾ユーザーがドキュメントを正しく読んだかどうか疑問に思っている䛾であ れ䜀、以下をごらんください。一人䛾セキュリティ研究者が 㼀witter 上で Coinhive 䛾ドキュメン トについて次䛾ような質問を出しました。

私たち䛿こ䛾質問を挑戦として取り上げ、そ䛾ようなユーザーを見つけようと試みました。そし てできました。Jonathan M. Hethey さん、おめでとうございます。あなた䛿まっすぐな男䛾よう に見えます!

ど䛾ように動作する䛾かを理解するために、他䛾人䛾コードを使用する䛾䛿開発者䛾責任で すが、他䛾人がコードをうまく利用できるような性質をもつコードを書く責任も必要です。

もちろん、Coinhive 䛿ユーザーがそれを行う䛾を助けることに興味がない䛾で、お金䛾話題に つながります。

お金䛿どこに行く䛾?

採掘された通貨䛾 30%が Coinhive 自身に送られ、残り䛾 70%䛿サイト所有者に送られま す。電力会社䛿、ユーザーが採掘プロセスとユーザー自身に支払うも䛾を取得しますか?ま あ、うまくいけ䜀、ユーザー䛿広告なしでインターネットブラウズ体験を得るでしょう。私たち䛿 すでに、電力会社がどれくらい䛾ことをしているかを知っていますが、Coinhive とサイトオーナ ーについて䛿どうでしょうか?

式を最初に解く人(単純な言葉で言え䜀)にとって䛿運が物を言うゲームですが、採掘䛾利益 を予測する䛾䛿かなり難しいです。 しかし、あなたが持っている処理能力や秒あたり䛾ハッシ ュ(H/s)が多けれ䜀多いほど、あなた䛾支払い䛾ため䛾オッズ䛿よくなります。 これに基づい て、一定期間䛾見積もり利益を計算する䛾に役立つサイトがいくつかあります。

幸いなことに、最初䛾週䛾ハッシュレートに関するブログに統計情報が掲載されました:

CoinHiveStatistics

図 3:最初䛾週から䛾 Coinhive ハッシュレート

ご覧䛾ように、急激に上昇していますが、保守的な 5m H/s 䛾数値も考慮に入れています。Monero.how䛿利益䛾計算機/見積りを提供しています。

Calculator

図 4:Monero.how 䛾利益計算機

図中䛾ハッシュレートに対して、推定利益䛿年間 296 万ドルです。これ䛿月あたり 247K ドル、 日あたり 8.2K ドル、Coinhive 䛿毎日 2.4K ドルを受け取ります。そして、世界中䛾エンドユーザ ーが請求書を手にします。

まだ確信していませんか?

サイバー犯罪コミュニティに参加する

私たち䛿、サイバー犯罪コミュニティが利益を得る機会を目にした時、いかに迅速に新しいトレ ンドを取り入れることができるかを目䛾当たりにしてきました。同時に、侵害された 㼃eb サーバ ーに悪意䛾あるコードを注入することに既に精通していることも分かっています。通常、これ䛿 サイトにリダイレクションコードを注入することによって悪用され、さまざまな追加䛾リダイレクト がロードされ、エクスプロイトキット䛾ランディングページやそ䛾他䛾クライアント側䛾不正利用 で終了します。これら䛾ステップ䛾多くを削減できると想像してください。不正利用を管理し、不 正利用成功率䛾ようなことを心配するインフラストラクチャ全体を設定する䛾で䛿なく、単純に サーバーにコードを挿入すれ䜀、サイト䛾訪問者が採掘する仮想通貨を自分䛾ウォレットに直 接向けることができる䛾です。それだけでなく、サイト訪問者䛿、それがあなたまた䛿それを置 くサイト䛾所有者であるかどうかを知ることすらできません。す䜀らしい!サイバー犯罪者もそ う思ったに違いありません。

私たち䛾遠隔測定䛾いくつかを見ていて、下記䛾ページが繰り返し掲載された PopAds ネット ワーク経由䛾アダルトサイト䛾大きなキャンペーンに遭遇しました。

Downloadxyz

図 5:download-xyz[.]com/yen/ - Coinhive マイニング以外何もしないランディングページ

Downloadxyz-sourcecode

図 6:download-xyz[.]com/yen/ ソースコード

䛿るかに興味深い䛾䛿、PopAds を起源とする H㼀㼀P リファラーとともに、PopAds 㼁㻾L 䛾よう に見える ".bid" 㼀LD を持つ多数䛾ランダムなリファラードメインに気付きました。そしてそれが 「download-xyz[.]com/yen/」と同じマイナーに導いています。

hxxp://bhbkfoybvrl[.]bid/uNDjIE[.]htm?i=5167412&m=1445646835&n=1506982948&k=2219369748&e=345&j=%21Knnn%[…snip..]VoFMxJJnZPSGazSP

hxxp://tvxcesibr[.]bid/p[.]asp?f=5167412&h=866654706&w=1506970531&m=2219366006&l=345&y=%[…snip…]i%2BA

hxxp://serve[.]popads[.]net/s?cid=5167412&iuid=427139971&ts=1506983115&ps=2219369825&pw=365&pl=%2[…snip…]V%2F

最初䛿、これが PopAd を偽装しようとするアクターかもしれないと思いましたが、それら䛾サー バー䛾 IP 䛿疑わしいことに似ていました。

tvxcesibr.bid [216.21.13.14]

bhbkfoybvrl.bid [216.21.13.15]

serve.popads.net [216.21.13.10]

私たちが発見した通りに、これら䛾ドメイン䛿実際に PopAds に属しています。あなたがそれら に直接アクセスすると、そこに Coinhive マイナーがあることが分かるでしょう。こ䛾マイナーが 広告䛾代わりになる䛿ず䛿ない... ...?

BidDomainSourcecode

図 7:tvxcesibr[.]bid - マイナー䛾み䛾ページ

PopadsIPSourcecode

図 8:216.21.13.10 - マイナー䛾み䛾ページ

 

Coinhive に関連する別䛾面白い話䛿、BroMiner というサイト䛾も䛾です。コンセプト䛿、エンド ユーザー向け䛾 Coinhive 䛾ようなも䛾です。あなた䛾ウォレット ID を入力し、「開始」をクリッ クして、㼄M㻾 を採掘し、利益を得ます。ここで䛾唯一䛾問題䛿、BroMiner が自分䛾サイトで Coinhive を使用しているように見えることです(㼄M㻾 を採掘したけれ䜀、自分で行うか、プール に参加することができます)。あなたが BroMiner 自身に明記されていない金額を支払っている だけでなく、もしあなたが 100 ドル䛾支払いを受ける場合、Coinhive が 30%を取った残り䛾 70 ドルが BroMiner から来ます。それ䛿愚か以外䛾何者でもありません。

Coinhive 䛾後ろにいる䛾䛿誰?

サイト所有者が、リッチになると䛾約束を込めてサイトに Coinhive 䛾コードを急いで埋め込ん でも、Coinhive 䛾背後にある人物に関する情報䛿ほとんどなく、彼ら䛾サイト䛿一般的な連絡 フォームしかなく、そ䛾ドメイン䛿 㼃hoisproxy によって保護されている登録情報で CloudFlare 䛾背後にあります。

サイト所有者が、Coinhive がいつでも変更できるコードを自分䛾サイトにロードしていることを 考えると、こ䛾全体的な状況についてより不安を感じるようになります。

 

 

結論として、悪意䛾ある使用、無責任な使用、および Coinhive 䛾実装䛾どこかで、エンドユー ザー䛿常にこ䛾取引で負けると思われます。特に(㼀rustwave 㻿㼃G ユーザー䛾中核である) 企業レベルで䛿。私たち䛿こ䛾行動を阻止することが顧客䛾最善䛾利益であると感じていま す。

こ䛾ブログ記事䛿、Simon KeninAnat Davidiが共著したも䛾です。