スロバキアに構える大手のソフトウェアセキュリティ会社Esetは、サイバー犯罪者がマルウェアとしてYouTubeを使って仮想通貨モネロのマイニングをさせていることを発表した。

マルウェアの名前はStantinkoと呼ばれ、Stantinkoに汚染されたパソコンは外部から操作されるボットネットに変わってしまい、更に外部へDDoS攻撃を仕掛ける踏み台などとなってしまう。

Esetは以前にそのStantinkoの存在を発見していたが、今回は感染したデバイスにおいてYouTubeで特定の動画を閲覧することで説明欄に記載された文字列からIPアドレスを読み取り、Stantinkoによって無許可でマイニングをさせられることを発見したという。

『無許可でマイニングをさせられる』と言えば、自身のサイトに提供されたコードを貼り付けることで、サイト閲覧者に無許可でもマイニングをさせることができるCoinhiveを思い出した方もいるかもしれないが、Coinhiveと比べるとStantinkoの存在は一層悪質である。

Coinhiveはマルウェアの類ではなく、広告に変わるWEBの新しいマネタイズ手法ということで注目されたサービスだった。その結果、ユーザー体験に影響を及ぼさない範囲でのCPU使用率で得られる利益が既存広告と比べると圧倒的に劣るため普及することなくサービスが終了した経緯がある。日本においては設置が不正指令電磁的記録保管、いわゆるウイルス罪に当たるのかが争点となる裁判が行われ、第一審では被告の主張が認められ無罪判決となり、現在検察による控訴審が行われている最中である。

一方Stantinkoは攻撃方法も多岐にわたりマイニングはそのうちの一つに過ぎない。別の仮想通貨のマイニングソフトの機能を止め、バッテリーの急激な消費を避けるために電源につながっていない時や、プロセスからの発見を回避するためにタスクマネージャーを立ち上げた時にもマイニングを止めるなど、ある程度の知識があるユーザーの目も逃れるようにしてある。マイニング部分にはオープンソースのMoneroマイニングソフト「Xm-Stak」が使用された。

YouTubeが感染経路となっているわけではないが、世界的に有名でアクセスが多いサービスであるからこそ動作トリガーとして利用されてしまったという反面もある。ESETもYouTube側に攻撃の詳細を通達し、現在はStantinkoのコード痕跡があるチャンネルを全て削除したと言われるが、イタチごっこにならぬよう抜本的な対処が求められ、他のWEBサービスともぜひ情報共有を行ってもらいたい。

また、ユーザー側としてもボットネットをインストールされるようなアクションを起こさず、もしウイルスに感染した場合ただちに排除できるようなセキュリティ意識を備えておく必要があるだろう。

参考:ESET WeLiveSecurity