仮想通貨の採掘に他人のPCを無断利用 気づかぬうちに不正ソフト侵入、対策は...

仮想通貨の採掘に他人のPCを無断利用 気づかぬうちに不正ソフト侵入、対策は...

仮想通貨の採掘に他人のPCを無断利用 気づかぬうちに不正ソフト侵入、対策は...の画像

「ビットコイン」をはじめ仮想通貨の取引が活発化してきた。合わせてトラブルや不正行為も増えている。

仮想通貨の入手は取引のほか、「マイニング(採掘)」という作業でも可能だ。そのマイニングに必要なパソコン(PC)の計算能力を、所有者に無断で奪ってしまう不正プログラムが問題になっている。

相手の同意を得てPCを「借りる」サービスはある

仮想通貨の取引データは、「ブロックチェーン」と呼ばれるセキュリティー上安全な共通の台帳に記録される。新しい取引は、過去の取引データとの整合性を取りながら正確に記録しなければならないため、膨大な計算量が必要になる。計算は、世界中から有志のコンピューターを募って行われる。この時、計算に貢献した人に、報酬として仮想通貨が提供される。これがマイニングの大まかな仕組みだ。

個人のPCでもマイニングは可能だが、その間はPCを稼働させる必要があるうえ、電力消費も伴う。そもそも個人が所有する1、2台のPCでは、例えば大手ITサービスが高性能のコンピューターを多数動員してマイニングを行うのと比べると、「費用対効果」で比較にならない。

ひとりのPCだけでは限界があるわけだ。そこで他人のPCの計算能力を借りてパワーアップし、マイニングで稼げる金額を増やすためのサービスが生まれている。例えば「Coinlab(コインラボ)」の場合、利用者が運営しているウェブサイトに特定のスクリプト(簡易プログラム)を入れることで、そのサイトを訪れた人のPCを仮想通貨「Monero(モネロ)」のマイニングに参加させることができる。コインラボには、マイニングによる収益の20%が、手数料として支払われる。

他人のPCをマイニングに利用するには、あくまで相手の同意を得たうえで行うとコインラボはサイト上で説明している。いったん協力をしてもいつでもやめられるうえ、個人情報へのアクセスや取得は行わないとも強調している。ただサービス初期にはトラブルもあった。コインラボのスクリプトを設置したサイトを訪れ、マイニングへの協力の可否を問うポップアップ表示が出た際に「いいえ」を選んだのに、他のページへ移った際に勝手にマイニングが始まってしまったことがあった。2017年11月2日、運営側は不具合だったとして謝罪し、問題は解決したとブログで報告した。

メールの添付、ダウンロード、迷惑アプリで仕込まれる

一方で、PC所有者の許可なく不正なプログラムを忍び込ませる悪質なケースがある。知らないうちに自分のPCがマイニングに利用され、しかも「もうけ」は持っていかれるというわけだ。セキュリティーソフト大手のトレンドマイクロは17年7月10日、サイト上で「仮想通貨の発掘に必要なリソースを確保するため、サイバー犯罪者はマルウェアを利用します」として事例を紹介した。マルウェアとは、コンピューターウイルスのような悪意のあるソフトを指す。

通常こうしたマルウェアはPCを乗っ取って「ゾンビ化」し、都合よく操る。2014年には米ハーバード大学のスーパーコンピューターが、17年2月上旬には米連邦準備銀行のサービスが、それぞれ仮想通貨「Dogecoin(ドージコイン)」「ビットコイン」のマイニングに不正利用された。

マルウェアを仕込む方法としてはこれまで、スパムメールの添付ファイル、不正なURL経由のダウンロード、迷惑アプリが確認されている。具体的な被害として「感染したPCのリソースを盗用し、パフォーマンスに重大な影響を与え、機器の損耗を早めます。また、消費電力の増加のように、感染による影響にはその他の費用も含まれます」とある。トレンドマイクロはさらに10月31日、米グーグルのアプリ提供サービス「グーグルプレイ」上で、仮想通貨の不正採掘アプリを2種類確認したとして注意喚起を行った。既にグーグル側に通報し、削除されたという。

「ゾンビ化」したPCは「意図せずしてサイバー犯罪の片棒を担がされてしまいます」。トレンドマイクロでは被害軽減のために、最新のパッチを利用して機器を更新する、初期設定の認証情報を強化して不正アクセスの可能性を減らす、家庭用ルーターのファイアーウォールを有効にする、といった方法をとるよう促している。