仮想通貨の台頭

ここ数年のブロックチェーンを活用したビットコインを始めとする仮想通貨は、貨幣についての新たな時代の到来を感じさせている。そうした新たな技術の普及は、新たなセキュリティリスクを生み出すきっかけともなっている。

既にご存じのとおり、仮想通貨はマイニングがあって初めて成立している。マイニングとはごく簡単に説明すると、仮想通貨における承認作業で、その作業に貢献したものには新規発行された仮想通貨が報酬として提供される仕組みだ。ただしこのマイニングでは膨大な計算式を解く必要があるため、大量のコンピューティングリソースを必要とする。仮想通貨が高騰していたころ、このマイニングで新規発行される報酬を目当てに、一攫千金を目論んで、専用のデータセンターを構築する事業者も多数現れた。当然ながらそうしたマイニングへの投資は計算リソースのためのハードウェアだけでなく、電気代を含め莫大な資金を必要とし、相場が乱高下する仮想通貨では相当のリスクであることは言うまでもない。

クリプトジャッキングとは

そうした背景を受け、クリプトジャッキング（Cryptojacking）という手口が横行し始めている。クリプトジャッキングとは、悪意を持った第三者が所有者・利用者の許可なしに、他人のコンピューターに特定のプログラム（コインマイナー）を埋め込み、その計算能力を使って仮想通貨をマイニングすることを言う。こうすれば、自ら高速処理のための高額なハードウェアや電気代への出費をすることなく、簡単にマイニングの結果としての報酬である新規発行された仮想通貨を入手可能となるのがお分かりいただけるだろう。

その手口

クリプトジャッキングの手口には、ユーザーのコンピューターにプログラムを入れ込むものと、Webサイトやバナーに不正なプログラムを埋め込んでおき、ユーザーがページを閲覧すると実行されるものがある。

クリプトジャッキングは、通常のマルウェアのようにコンピューター内のデータを流出させたり、WannaCryのように恣意的にコンピューターを利用させなくしたりするものではなく、むしろ淡々とマイニングが実行され続けるようにするものである。そのため、コインマイナーが埋め込まれていても、その存在が気付かれにくいのが特徴だ。

セキュリティソフト大手のMacAfee社の調査によるとその数は、近年急激に増加しているという。

【図2】仮想通貨関連のマルウェア検出数
（2014～2018年）

どんな影響があるのか？

では、クリプトジャッキングされた状態のパソコンを利用していて全く変化がないかというとそうではない。先に説明したように、マイニングは膨大な計算能力を必要とし、バックグラウンドで、膨大な量の計算をしていることから、通常の作業が重く感じられるようになる。これは、一時的にはウィンドウズアップデート等でもしばしば起こる現象であり、またパソコンが古くなってきた際にも、気付かないうちに様々なアプリケーションがメモリに常駐することで遅くなることもあり、ユーザーはそんなものかと不便さを感じながらも受け流してしまうことが多い。

それよりも、過負荷による影響が深刻となる。コンピューターのリソースは負荷がかかると当然のことながら発熱する。ノートパソコンで動画再生をした際に本体が熱くなっているという経験は誰もがしたことがあるだろう。こうした発熱により、熱くなりすぎたコンピューターが熱暴走を起こすこともあることはご存じのとおりかと思う。ノートパソコンの場合は、手元にあることから、あまり熱くなりすぎたときは電源を一旦落として、クールダウンするのを待つことができるが、コンピューターが離れた場所にある場合には、異常加熱していることが現実的に知覚できない。

ターゲットは常に盲点に向かう

そうした盲点を突いて、クリプトジャッキングに狙われているターゲットが実は監視カメラだ。監視カメラは「これからはIoTの時代だ」と騒がれるずっと以前から、遠隔監視の用途でネットワークにつながれて利用されてきた。利用方法として、同じ映像を配信し続けるだけではなく、対象物に対してズームや、回転させて追跡するなどの制御をするために、ほとんどのものには小型のコンピューターが搭載されている。実はこの監視カメラに搭載されているコンピューターがクリプトジャッキングの恰好のターゲットとなっている。これまでも監視カメラのID、パスワードが流出し、愉快犯的にインターネット上で世界中の監視カメラのライブ映像をのぞき見できるようにした「Insecam」というサイトが話題になったことがある。こうした監視カメラが悪意ある第三者のターゲットになる理由は複数におよび、主なものとして以下が挙げられる。

1. 膨大な数の監視カメラが既にインターネット接続されている。
2. その多くがファイアウォール等を介さずにインターネットに直結されている。
3. 搭載されているコンピューターの技術が古い。ログインID・パスワードが変更不可能であったり、Telnetといった遠隔から完全に制御可能なプロトコルの利用を許したりしている場合がある。
4. そうした監視カメラについてのハッキングに関する情報がインターネットに流出している。

5. 正常に通常の機能は実行されるため、認識されることが極めて稀。

特に、価格が安く、一般家庭等の利用を想定したものがターゲットとして狙われやすいという。
こうした条件を満たす複数の監視カメラに、人知れずコインマイナーがインストールされ、仮想通貨のマイニングが行われている。

【図3】Telnetによって完全に乗っ取られた監視カメラ端末の状態
（出典：RSA Conference 2019）

発見され難く、物理的な被害を伴うIoT機器

最も恐ろしいのは、こうしてクリプトジャッキングされたカメラは、これまでのように愉快犯的にのぞき見に使われるだけでは済まないことだ。先に書いたとおり、クリプトジャッキングされた端末は非常に負荷の高いコンピューティング能力を要求され、常に過負荷の状態となっている。繰り返しになるが、そうした過負荷は発熱をもたらすことになる。しかしながら、監視カメラのように通常の用途では負荷の変動が想定されていない機器の場合、冷却に対しての対策はパソコンほど取られていない。その結果、熱暴走で制御不能になるだけでなく、発火する事象も発生しているという。今年3月に行われたRSA Conference 2019のセッションの一つでは、実際にクリプトジャッキングされた家庭用の監視カメラが最終的にどうなるかというデモが紹介された。

【図4】膨大な数のIoTカメラがハッキングの対象となることに警鐘を鳴らすForbs記事
（出典：Forbes社Webサイトhttps://www.forbes.com/sites/thomasbrewster/2017/10/23/reaper-botnet-hacking-iot-cctv-iot-cctv-cameras/#5721176c38f7）

新たな技術の普及と新たなセキュリティへの脅威

現在、監視カメラだけでなく、それらがIoTと意識されているか否かにかかわらず、既に様々な機器がインターネットに接続されていることは容易に想像がつくことだろう。ビジネス面におけるこうしたハードウェア機器、特にコンシューマー向けのプロダクトの普及はグローバルな価格競争にさらされており、常にコストダウンが求められている。しかしながら、そうした売れる製品作りのためのコストダウンを優先するあまり、サイバーセキュリティ対策がおざなりになってしまうことは製造者の信用失墜に直結することは言うまでもない。特に、これまで被害が不明確であった情報流出や愉快犯によるプライバシー被害だけではなく、セキュリティ対策の不備によって、クリプトジャッキングされた結果、火災を誘引し、物理的損害だけでなく、最悪の場合にはユーザーの人命に関わることも十分に想定され、取り返しのつかない結果をもたらす可能性さえある。

ユーザー側の製品選択にも自覚と責任を

これは、今後のIoT製品を選ぶ際にはユーザー側にも自覚と責任が求められるということではと筆者は考える。アイデア勝負の便利グッズを選ぶように安くて便利なIoT製品を選ぶことは、長期的な目線では必ずしも正しい消費選択とは言えないだろう。なぜなら、そうした機器を製造販売する企業はいつまで存在するか分からず、何らかの問題が発覚した時点では既に廃業し、対策を構じることができないだけでなく、責任を問うことすらできない可能性すらある。

完璧な製品など世の中には存在しないが、先進国の消費者として、安かろう悪かろうを放置し、見て見ぬふりをするのではなく、責任あるメーカーやサービス提供者と一緒に新たな時代を築く、新しい時代のプロシューマー像が求められているように考える。