仮想通貨を目的にしたサイバー犯罪が横行する中、攻撃者がコンピュータを「コインマイナー」と呼ばれる不正プログラムに感染させ、不正に仮想通貨を発掘させる行為が増えつつある。米Proofpoitは1月31日、企業利用が多いWindows Serverが、仮想通貨を不正に発掘する「Smominru」ボットネットに悪用されていると指摘した。
Smominruは2017年7月頃に発見され、マルウェア「WannaCry」の拡散でも使われたWindowsの脆弱性を突く「EnternalBlue」を用いて広がったとみられる。Proofpoitは、EnternalBlueを使って拡散するコインマイナーは他にも存在するが、Smominruは感染時にWindows環境を管理する正規ツール「Windows Management Instrumentation(WMI)」を悪用する点が珍しいと解説する。
Smominruボットネットの規模は、既に同じコインマイナーのボットネット「Adylkuzz」の2倍程度にあると同社では見ている。Smominruは感染先のコンピュータのリソースを不正に使用し、仮想通貨「Monero」を発掘する。1日あたり24 Monero(約8500ドル相当)が発掘され、これまでに約8500 Monero(約280万~約360万ドル相当)が発掘されたと分析している。
Proofpointの観測では、少なくとも52万6000台のWindowsホストがSmominruボットネットに組み込まれ、国別の感染端末数ではロシアの約13万台を筆頭にインド、台湾、米国の順に多い。日本では1万6645台が感染しているという。
コインマイナーは、仮想通貨を発掘する際に、感染先のコンピュータリソースを消費する。Proofpointは、Smominruボットネットに感染したコンピュータのほとんどがWindows Severである可能性が高いとし、ビジネスの重要なインフラに多大な影響を与える恐れがあると警鐘を鳴らしている。
Smominruボットネットの国別感染状況(出典:Proofpoint)