3月24~25日に、マイクロソフトのポータルサイト「MSN Japan」に表示された広告を通じて、仮想通貨を発掘する不正なスクリプト「COINMINER_COINHIVE.E-JS」が拡散する事態が発生した。仮想通貨の不正な発掘を狙う攻撃が猛威を振るうなか、トレンドマイクロが原因の1つに、クラウド利用者の不適切な設定があると指摘している。
トレンドマイクロによると、今回の事態の直接的な原因は、AOLの広告プラットフォーム「advertising.aolp.jp」から配信されたスクリプトの改ざんにあるという。改ざんされたスクリプトが埋め込まれた広告をユーザーのコンピュータ上に表示するだけで、仮想通貨の発掘が行われるものだった。
コインマイナーの検出数と不正ドメインへのアクセス数(出典:トレンドマイクロ)
COINMINER_COINHIVE.E-JSは、3月18日に作成された不正なドメインにアクセスするといい、改ざんされたAOLの広告経由のほか、このドメインへの誘導を図る目的で約500サイトが改ざんされていることも分かった。トレンドマイクロの観測では、MSN Japanに問題の広告が表示されてしまった24~26日に、COINMINERCOINHIVE.E-JSの検出と不正なドメインへのアクセスが急増した。
改ざんされた広告配信のスクリプト(出典:トレンドマイクロ)
急増の背景には、MicrosoftのブラウザのInternet ExplorerやEdgeでは、MSN Japanのトップページが初期設定でブラウザ起動時に表示されるため、多くのユーザーがブラウザを立ち上げた際に問題の広告が表示されてしまった可能性があるという。
同社が改ざんされたウェブサイトを解析した結果、不正なコンテンツの大部分がAmazon Web Service(AWS)のS3ストレージにホストされていた。改ざんされたウェブサイトのURLの一部に、S3バケットの名称を含むものも見つかり、誰もがコンテンツの一覧を取得したり、編集したりできる状態になっていた。
AWSのサービスが悪用されたのは、正規の管理者がS3へのアクセス権限を適切に設定していなかった可能性があると同社。その結果、何らかの方法で権限を取得した攻撃者が正規の管理者になりすまして不正にアクセスし、コンテンツを改ざんしたと見ている。
AWSなどのクラウドサービスでは、正規の利用者が権限などを不適切に設定してしまうことで、攻撃者に不正利用されてしまう問題が指摘されている。同社は、改ざんされたAOLの広告配信用スクリプトがS3サーバにホストされているのを確認。実際のS3バケットにはアクセスできず、アクセス権限の設定状況を確認できなかったものの、設定の不備が原因になったと推測する。
クラウドサービス事業者側では、ユーザーに対して適切な設定を呼び掛けており、特にサービスへ接続するためのアクセスキーや管理者権限などの重要な情報については、厳格に管理することを推奨している。
トレンドマイクロでは、ウェブサイト管理者などに、不正コードを含むスクリプトや不正なドメインが埋め込まれていないかを確認してほしいと呼び掛ける。クラウドサービスの利用者も、自身が設定いる権限などの悪用や、コンテンツ改ざんなどの被害の有無をきめ細かくチェックする必要があるだろう。
セキュリティ各社によれば、2017年後半から仮想通貨の発掘を狙ったマルウェアやコードの拡散攻撃や、拡散の踏み台としてウェブサーバやウェブサイトなどを改ざんする攻撃が増加傾向にある。
