次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、MrbMinerに関する新しいレポート「MrbMiner:国際的な制裁を回避するためのクリプトジャッキング」を公開しました。このレポートでは、MrbMinerの発生元を追跡し、イランに拠点を置く小規模なソフトウェア開発会社によって開発・管理されていることを突き止めました。
MrbMinerは最近検出されたクリプトマイナーであり、インターネットに接続するデータベースサーバ(SQLサーバー)を標的にし、クリプトマイナーをダウンロードしてインストールします。データベースサーバーは、膨大なリソースが必要とされる処理に使用され、強力な処理能力を持っていることから、クリプトジャッキングを実行するサイバー犯罪グループにとって魅力的な標的です。
SophosLabsの調査により、攻撃者はいくつかの経路で標的のサーバーに悪意のあるマイニングソフトウェアをインストールし、クリプトマイナーのペイロードと構成ファイルを意図的に不正な名前を付けたzipアーカイブファイルに保存していました。
このクリプトマイナーのメインの構成ファイルには、イランを拠点とするソフトウェア会社の名前がハードコードされていました。この会社のドメインは、このクリプトマイナーのコピーを含む他の多くのzipファイルに関連付けられています。これらのzipファイルは、mrbftp.xyzなどの他のドメインからダウンロードされています。
SophosLabsの脅威調査部門のディレクターであるGabor Szappanosは、次のように述べています。「MrbMinerの攻撃は、インターネットに接続するサーバーを標的とする従来の多くのクリプトマイナー攻撃と、多くの点で同じように見えます。異なっているのは、攻撃元の隠ぺいについて、後先を考えないで大胆な行動をしていると思われることです。このクリプトマイナーの構成、ドメイン、IPアドレスに関連する多くの記録が、イランに拠点を置く小さなソフトウェア会社がこの攻撃の発生元であることを示しています。数百万ドル規模の身代金を要求するランサムウェア攻撃によって組織が大きな影響を受けている中で、クリプトジャッキングは、深刻な脅威ではなく厄介な攻撃と思われているかもしれませんが、それは間違いです。クリプトジャッキングは、実行が容易で検出が非常に難しい脅威であり、痕跡をほとんど残すことなく密かに実行されます。さらに、システムのセキュリティが一度侵害されると、ランサムウェアのような他の脅威の攻撃をさらに受ける恐れもあります。したがって、クリプトジャッキング攻撃を受けた場合、俊敏な対策を講ずることが大切です。コンピュータの処理速度や性能の低下、電気使用量の増加、デバイスの過熱、CPUリリース要求の増加などの兆候を見逃さないよう注意する必要があります」
MrbMinerやその他のサイバー脅威に関する詳細情報は、SophosLabs Uncutを参照してください。SophosLabs Uncutでは、Kingminer、クリプトマイニングの攻撃をさらに複雑化、 クラウドアプリとLinuxを標的とするLemon_Duckクリマイナー、MyKingsボットネットがまき散らすクリプトマイナーとForshareマルウェアなど、ソフォスの研究者が定期的に最新の調査結果や重大な脅威について発表しています。サイバーセキュリティを研究されている方は、Twitterの@SophosLabsをフォローして、リアルタイムでSophosLabs Uncutの情報を参照いただけます。
セキュリティ侵害の検出と指標
MrbMinerのクリプトマイナーの検体は、Troj/Miner-ZDとしてソフォス製品で検出されます。
その他のセキュリティ侵害の指標は、SophosLabs Githubで公開されています。
その他の参考資料
- 組織が直面しているランサムウェアなどの現在および新たな脅威の詳細については、2021年版脅威レポートを参照してください。
- ランサムウェア攻撃を阻止するために、「攻撃が進行していることを示唆する 5 つの指標」をご覧ください。
- リアルタイムに攻撃を停止する ソフォスの新しい Rapid Response サービスの詳細をご確認ください。
- 受賞歴のあるソフォスのニュースサイト Naked Security と Sophos News で最新のセキュリティニュースとソフォスの解説をご覧ください。
報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com