【サマリ】
警察庁の注意喚起に関して
仮想通貨マイニング ー 広告の代替手段としての可能性は?
*********************************************
【全文】
Avast 脅威研究所 セキュリティ研究者マーティン・フロン(Martin Hron)
仮想通貨は今や大きなトレンドです。新種の通貨が毎月のように台頭する中、人々の多くは一攫千金を夢見て投資を行っています。サイバー犯罪者もこうした動きに便乗しており、ほとんど手間をかけることなく、仮想通貨を悪用して金銭を得ています。この数カ月間・数年間を見ても、悪意あるスクリプトを使用するサイバー犯罪者は、サイト訪問者のブラウザに仮想通貨マイニングを行わせることで、Webサイトに影響を及ぼしています。日本の警察庁は2018年6月14日、Webサイト訪問者の同意なしに仮想通貨マイニングを行った際に罰則が生じる可能性がある旨を明示しました。これは一見、正しい方向性のように思われるますが、次のような疑問点が残されています。 ・ ブラウザベースの仮想通貨マイニングは「どこ」から違法になるのでしょうか? ・ 警察や周辺の機関は、悪意のある仮想通貨マイニングとどのように戦うことができるのでしょうか?最も有名な仮想通貨のビットコインが市場に登場したのは2009年のことです。当初の価値は0.08米セントで、その後数年間で次第に上昇しました。当初、ビットコインをはじめとする仮想通貨は主に、技術マニア間で取引されていましたが、2017年夏にビットコインの価値が4,000米ドルに達したことが転換点となり、仮想通貨は技術マニアのニッチな投資オプションから、主流の投資機会とみなされるようになりました。2018年4月に、日本国内のオンラインユーザ約600人を対象にAvastが行った調査では、回答者の5分の2(19.75%)が仮想通貨を既に保有しており、さらに14.59%は、仮想通貨への投資を計画中であることが判明しています。
仮想通貨の価値が上昇する中、サイバー犯罪者は、仮想通貨マイニングへの取り組みを強化させています。一般的に仮想通貨マイニングは合法的なビジネスである一方、強力な演算能力、つまり演算インフラストラクチャへの膨大な金銭投資が必要となり、高額の電気代も発生し続けるため、その収益性は低いのが現状です。サイバー犯罪者は数年前より、被害者のPCやスマートフォンを踏み台にして仮想通貨マイニングを行うマルウェアの開発に着手しており、これによって、自前の演算能力や演算インフラストラクチャへの投資を回避しています。ブラウザベースの仮想通貨マイニングは昨年急速に普及しました。ブラウザベースのマイニングの場合、マイニング用スクリプトはWebサイトのコードに実装されます。ユーザがWebサイトにアクセスすると、埋め込まれたスクリプトが仮想通貨のマイニングを開始します。仮想通貨マイニングスクリプトは、例えばCoinhiveが提供するようなJavascriptに基づいてすぐに使用できる仮想通貨マイナーを使用すれば、Webサイトに簡単に実装できます。スクリプトはブラウザベースなので、Windows、Mac、iOS、Androidなどクロスプラットフォームで実行でき、ユーザがWebサイトにアクセスするとアクティブになります。
コンピュータやその他デバイスなどでのブラウザベースの仮想通貨マイニングは、「Webサイトの所有者自身がスクリプトを実装した場合、またはサイト所有者が認識した上で第三者がスクリプトを実装した場合」、そして「Webサイトの訪問者に通知され、且つ訪問者に同意を求める場合」において、完全に合法になります。しかしながら、Avastでは、ブラウザベースの仮想通貨マイニングにおける悪意ある事例の増加を確認しています。これは、ハッカーがWebサイトをハッキングしてスクリプトを秘密裏に注入したか、または多少の金銭を追加で得るために、Webサイトの所有者がスクリプトを意図的にコードに挿入したというケースが考えられます。
日本の場合、ブラウザベースの仮想通貨マイニングの感染の試みは、ビットコインの成功と連動しています。2017年6月、ビットコインの価値は2,100ドルを上回り、Avastは24万以上の「悪意ある」攻撃をブロックしました。この回数は、ユーザが不正な仮想通貨マイニングを行っているWebサイトを訪問しようとしたインシデントの数を意味します。ビットコインが1万8,000ドル超のピークに達した12月には、攻撃レベルは310万回を上回りました。2018年には仮想通貨の価値が低下する中、攻撃回数も減少し、2018年6月には約52万回まで落ち込んでいます。仮想通貨の価値が将来的に再び上昇することがあれば、マイニングの試みも急増する可能性が高いと考えられます。
仮想通貨マイニングスクリプトを使用し、攻撃者が第三者のWebサイトを感染させることが、違法な行為であることに疑いの余地はありません。これによって犯罪者は、自前のサイトではなく第三者のWebサイトを感染させて匿名性を維持しています。そうなると、攻撃を受けたWebサイトの所有者と、意図的にスクリプトを実装して閲覧しているユーザに通知をしないWebサイト所有者を区別することが重要になってきます。
ですが、Avastはこれまで、TVストリーミングサイトなど、既存の企業に属するWebサイトの中に、サイト訪問者への警告なく、仮想通貨マイナーが実装されているサイトの例を観察しています。Avastがこの問題を明るみにすると、Webサイトの所有者は、自分たちは被害者であると主張しました。しかし、マイナーの実装形態に着目すると、コードはスムーズに記述されていた上、Webサイトのコードに完璧に実装されていた点から、外部の攻撃者がこれを行うのは困難であると考えています。
残念なことに、仮想通貨マイニングを行うWebサイトを訪問した場合、マイニングスクリプトはバックグラウンドで実行され、訪問者への通知はないのが一般的となっています。日本ではこうした脅威があまり認識されておらず、訪問者が仮想通貨マイニングのアクティビティを認識できる可能性は低いでしょう。それを裏付けるように、前述のAvastの調査によると、日本人の調査回答者の過半数以上(63.53%)は、自らが仮想通貨を保有・マイニングしていないことから、仮想通貨マイニングによる影響はないと誤解しています。
仮想通貨マイニングには、高い演算能力が要求されるため、ユーザにとっては、電気代の高騰や生産性の損失、デバイスのパフォーマンス低下や製品寿命の短縮を招くことも考えられます。ユーザにはこうした実害が発生するため、通知を伴わない仮想通貨マイニングスクリプトを警察が禁止することには、正当な権限があるとAvastは考えています。
Webサイトの所有者にとって今回の警察庁の注意喚起は、遵守すべき規則に関する指標であり、マイニングスクリプトを実装しておきながら訪問者への通知をしないWebサイトは、今後減っていくと思われます。そして、訪問者への警告なくWebサイトが仮想通貨マイニングを行った際の責任について、Webサイトの所有者は、運営サイトのセキュリティ保護に対してこれまで以上に注意を払う必要があります。なぜなら、もしマイニングスクリプトがWebサイトの所有者ではなく、外部の攻撃者によって実装された場合、それを証明するのは非常に困難だからです。