仮想通貨の採掘者狙う攻撃が増加、警察庁が注意喚起

仮想通貨の採掘者狙う攻撃が増加、警察庁が注意喚起 

日経クロステック　

フィンテック ＢＰ速報 2018/3/14 20:00

　警察庁は、仮想通貨「Ethereum（イーサリアム）」を採掘するソフトウエア「Claymore（クレイモア）」を標的としたアクセスが増加しているとして、2018年3月12日に注意を喚起した。

　警察庁のインターネット定点観測システム（＠police）で2018年1月8日以降、Claymoreが管理用ポートとして使っているTCPの3333番ポートに対し、「JSON-RPC」というリモート呼び出しプロトコルでEthereumのアカウントリストを調査するアクセスが増えているという。＠policeでは、こうしたアクセスの件数を発信元の国／地域別にまとめている。

　こうしたアクセスを行っている発信元の他のアクセスを調査したところ、TCP52869番ポートに対するアクセスで、あらゆるモノがネットにつながるIoT機器を標的としたマルウエア（ボット）である「Mirai」の亜種（「okiru」や「satori」）を外部のWebサーバーからダウンロードし、その実行を試行するパケットを確認したという。また、TCP37215番ポートに対するアクセスでは、ランサムウエア「WannaCry」で悪用された脆弱性攻撃ツール「EternalBlue」や「DoublePulsar」を使った攻撃と考えられるパケットを確認した。

　こうした状況から、警視庁はClaymoreでJSON-RPC APIを利用しているユーザーに対し、複数の対策を実施することを推奨している。まずサーバーをインターネットに接続する際には、直接接続するのではなく、ルーターなどの機器を介して接続することを求めている。ファイアウオールなどで外部からの不必要なアクセスを遮断するほか、特定のIPアドレスだけにアクセスを許可する適切なアクセス制限なども必要だとする。

　52869番ポートや37215番ポートに対するアクセスは、IoT機器を標的としていることが考えられる。このため、IoT機器でも総合的なセキュリティー対策が必要だとしている。具体的には、サーバーと同様の対策を施したうえで、機器の製造元が公開する脆弱性情報を確認し、脆弱性がある場合はファームウエアのアップデートなどの適切な対策を行う。ユーザー名とパスワードは初期設定のままにせず、推測されにくいものに変更する。メーカーが脆弱性に対応しない古い製品は、使用を中止することを求めている。

　なお警察庁は、Androidのアプリ開発の際にデバッグで利用されるAndroid Debug Bridge（ADB）という機能で使うTCP5555番ポートに対するアクセスの増加も同時に指摘している。ADBを悪用した探索行為や感染活動が行われている可能性があるという。

　これに関して海外のセキュリティーベンダーは、Android搭載機器に感染して仮想通貨を採掘するマルウエア「ADB.Miner」の情報を公表している。感染した端末のほとんどはAndroidを搭載したスマートテレビやセットトップボックスなど。感染端末は、TCP5555番ポートを開放している端末をネットワーク経由で探索して感染活動を行ったり、仮想通貨「Monero（モネロ）」の採掘を行ったりするという。

（日経 xTECH／日経NETWORK　大森敏行）

［日経 xTECH　2018年3月13日掲載］