ビットコインのマイニングを検知しないことの隠れたリスク

2014年6月6日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
ビットコインのマイニングを検知しないことの隠れたリスク

6月6日、フォーブスのカシミール・ヒル記者は、NSFの研究者がNSFが資金提供するスーパーコンピューティング・リソースを悪用して、8,000ドルから10,000ドル相当のビットコインを採掘したことを記事にした。同記事では、ロンドン・インペリアル・カレッジの学生とハーバード大学の研究者も、大学のコンピューターを使用してDogecoinと呼ばれる同様の仮想通貨を採掘したとされている。

CISOとして、あなたの最初の反応は、組織のリソースの不適切な使用を止めるべきだということかもしれませんが、これはおそらくあなたの最優先事項ではありません。誰かがあなたのコンピューターやネットワークを使って仮想通貨をマイニングするのは、あなたの家のコンセントから電気自動車を充電するようなものです。そう、彼らはあなたの電気を許可も払い戻しもなく使っているのだ。しかし、彼らは高価なものを盗んだり、あなたの命や生活を脅かしたりしているわけではない。それでも、これはおそらく私たちが知りたいことであり、できることなら止めたいことなのだ。

仮想通貨マイニングは一般的なセキュリティ製品では検知されない

組織が使用している一般的なセキュリティ製品は、仮想通貨マイニングのような不正行為を検知していない。Bitcoinや Dogecoinのような仮想通貨をマイニングするコンピュータは、ファイアウォールが許可するように設定されているポート80で通信する。組織が侵入防御システム(IPS)を使用している場合、それらのデバイスはシグネチャを使用して仮想通貨マイニングを検知することができる。しかし、すべての組織がIPSを使用しているわけではなく、すべてのシグネチャが常に有効になっているわけでもない。何千ものシグネチャが存在するため、セキュリティチームはIPSのスループット・パフォーマンスを確保するために、ビジネス・リスクに基づいてシグネチャを管理し、優先順位を付けます。そのため、境界防御にIPSを導入していても、仮想通貨を検知して阻止するように設定されていない可能性があります。

このことから、仮想通貨のマイニングを検知することが重要なのかどうかという疑問が生じる。答えを出す前に、仮想通貨のマイニングで大金を稼ぐには、多くのコンピューティングサイクルが必要であることを忘れてはならない。これらのサイクルを得るために、マイニングプロセスを推進する人は、ボットネットを通じて何千台もの感染したコンピュータをコントロールするボットハーダーのところに行くかもしれない。

暗号マイニングが発覚したら?

組織内で仮想通貨のマイニングを行っているコンピューターを見つけた場合は、マシンの所有者がマイニング ソフトウェアをインストールしたか、またはソフトウェアが知らないうちにインストールされたかのいずれかです。 前者の場合は、その従業員がコンピュータを使用して他にどのような不許可行為を行っているかを心配する必要があります。 後者の場合、組織内にボット ヘルダーの制御下にある他の感染デバイスが存在する可能性があります。 これらの感染したコンピュータは、今日は仮想通貨のマイニングに使用される可能性がありますが、明日には人気の検索エンジンに対する DDoS 攻撃に使用され、IP アドレスがブラックリストに登録される可能性があります。 攻撃者の経済においては、ボット管理者がリースしているコンピューターとネットワークの料金を支払わなかったことを除けば、ボットネットは元のクラウド コンピューティングです。

当社のXシリーズ・プラットフォームは、ネットワーク内のビットコインやその他の仮想通貨マイニングを検知しており、上記のような思考プロセスは、顧客が経験したことのあるものです。顧客は、ファイアウォールやIPSのような境界防御を補強するために当社の製品を使用し、境界を回避したマルウェアや標的型攻撃、または会社のファイアウォールの外で使用されているラップトップ上のフロントドアから侵入したマルウェアや標的型攻撃を特定しています。

ビットコインの採掘を検知することが重要かどうかという問題に戻ると、仮想通貨の採掘を検知できるセキュリティがないということは、標的型攻撃を検知する準備が整っていない可能性があるという指標になります。すべての悪意のある行動を検知し、ノイズの中からシグナルを見つけ、迅速にトリアージし、最もリスクの高いものに限りあるリソースの優先順位をつけることができる方法で報告するセキュリティシステムを持つことが重要です。

Vectra Networks が、境界防御を回避する脅威や攻撃を迅速に検知し、トリアージするためにどのように顧客を支援しているかについては、リバーベッドの CISO であるサム・カムランが自身の経験について語る様子をご覧ください。Vectra の仕組みの詳細については、2 分間のデモをご覧ください。

よくあるご質問(FAQ)