ハッカーは、SSHを狙うブルートフォース攻撃を行い、侵入後に仮想通貨の不正採掘を行う
この攻撃は、サーバーをハッキングして乗っ取ったサーバーで仮想通貨を不正に採掘(マイニング)することが目的です。
サイバー犯罪者グループはSSH(Secure Shell)というリモート接続機能を対象にブルートフォース攻撃(総当たり攻撃)を仕掛け、Linuxサーバーに不正侵入したのち、仮想通貨を得る(マイニング)マルウェアを送り込むという攻撃の手口です。
目次
サイバー犯罪者の新たな稼ぎ口
近年、サイバー犯罪者たちはLinuxサーバーをターゲットにした新たな攻撃手法を活発化させています。
その手口の一つが、SSH(Secure Shell)へのブルートフォース攻撃です。SSHは、サーバーへ安全にリモート接続するための一般的なプロトコルですが、パスワード認証に頼っている場合、脆弱な入口にもなり得ます。
SSHの突破の次にするとこは、乗っ取ったサーバーで仮想通貨をマイニングすることです。
SSHとは
SSHは、ネットワーク越しにサーバーへ安全にログインできる機能で、多くの企業や個人が日常的に使用しています。
しかし、初期設定のまま使用されたり、簡単なパスワードが設定されていたりすると、攻撃者にとって絶好の標的となってしまいます。
ブルートフォース(総当たり攻撃)とは
ブルートフォース攻撃とは、考えうるすべてのパスワードを自動で試す手法です。攻撃者は専用のツールを使い、世界中のLinuxサーバーに対して無差別に攻撃を仕掛けています。短時間で数万回のログイン試行が行われ、パスワードが突破されると、そのサーバーはハッカーに完全に乗っ取られてしまいます。
マルウェアで仮想通貨を不正に採掘するとは
攻撃者は、侵入直後にマルウェアをサーバーへ送り込みます。
このマルウェアは、サーバーのCPUやGPUを使って仮想通貨をひたすら掘り続けます。その利益はすべて攻撃者の財布に入る仕組みです。
感染後のサーバーの異変
マルウェアに感染したサーバーでは、以下のような異変が見られます。
・CPU使用率が異常に高い
・サーバーの応答が遅くなる
・ネットワーク通信量が増加
・不審なプロセスが常駐している
仮想通貨を発掘するマルウェア Outlaw
ここでは、Outlaw(アウトロー)ボットネットについて説明します。
Outlawとは
Outlaw(別名:Dota)とはハッキング集団で、主にLinuxサーバーを標的にした暗号通貨マイニングボットネットを用いて、仮想通貨を発掘します。
「弱いSSH認証情報」(簡単なパスワード)を使っているサーバーを狙い、侵入後にマルウェアを自動的に増殖させていきます。
自動増殖型とは
Outlawの大きな特徴の1つが「自動増殖型(Worm-like behavior)」であることです。
感染したサーバーは、次のように動きます。
1.自身が感染していることを隠す
2.周囲の他の脆弱なSSHサーバーをスキャンする
3.見つけたらブルートフォースで侵入を試みる
4.成功したら、同じマルウェアをコピーして新たな感染先に増殖
つまり、自分の分身を次々と作成してより多くの仮想通貨を発掘するのですね。
Outlawボットネットは「静かに広がるサーバー乗っ取り」として非常に危険です。
シンプルなSSH設定のまま使っていると、いつの間にか仮想通貨を掘られる“道具”になってしまうかもしれません。
自分のサーバーを守るには「侵入される前提での対策」が必要です。Outlawは、その脅威を教えてくれる実例と言えるでしょう。
サーバーを守るためには
このような攻撃から自分のサーバーを守るには「攻撃される前提」で対策を施すことが大切です。
パスワードだけに頼らないSSHセキュリティ
まず最初に取り組むべきなのは、パスワード認証の無効化です。
代わりに、より安全な公開鍵認証方式を導入しましょう。これにより、仮にブルートフォース攻撃を受けても、突破は極めて困難になります。
ログ監視とアクセス制御の重要性
次に、ログイン試行をリアルタイムで監視することも重要です。fail2banやDenyHostsといったツールを使えば、一定回数のログイン失敗でIPアドレスを自動的にブロックできます。
ハッカーは、SSHを狙うブルートフォース攻撃を行い、侵入後に仮想通貨の不正採掘を行うのまとめ
Outlawボットネットは「静かに広がるサーバー乗っ取り」として非常に危険です。
シンプルなSSH設定のまま使っていると、いつの間にか仮想通貨を掘られる「ツール」になってしまうかもしれません。
SSHは便利なリモート接続ツールですが、その分、攻撃者からも狙われやすい入口となります。
ブルートフォースによる不正ログインと、その後のマイニング被害は、すでに現実のものです。
サーバーを管理されている方は、日々の管理を怠らず、パスワードの強化やセキュリティツールの導入など、サーバーの対策を早急に行いましょう。