マイクロソフトは、8つのWindows10用アプリを公式アプリストア「マイクロソフトストア」から削除した。サイバーセキュリティ大手シマンテックによる仮想通貨モネロ(XMR)のマイニングコードの確認を受けたもので、シマンテックが同社ブログで2月15日に伝えた。8つのアプリは、利用者の同意なしにモネロをマイニングしていたという。
シマンテックによると、DigiDream、1clean、Findooという3組の開発者がリリースした8本のアプリにおいて、悪意のあるXMRマイニングコードを1月17日に発見。シマンテックからの報告後、マイクロソフトは8本のアプリをすべて削除したが、削除を行った日付は明らかにしていない。
また正確なダウンロード数やインストールの統計は不明だが、実際のユーザーや不正なボットを正確に反映しているかどうかにかかわらず、約1900の評価を受けている。
シマンテックがZDNetに明かしたところでは、マイクロソフトストアで初めて発見されたクリプトジャック系アプリという。これらアプリをインストールすると、CPU時間が100%消費している状態となる。
今回の手法は、ステルス・クリプトマイニングと呼ばれる。クリプトジャックとしても知られ、ユーザーの同意なしにPC上で仮想通貨マイニングを行うマルウェアをインストールすることで行われる。
マイクロソフトストアでは、人気無料アプリの一覧を表示しており、このうちコンピューターとバッテリーの最適化(チュートリアル)、インターネット検索、Webブラウザ、ビデオの表示とダウンロードといったカテゴリーの中に、先に挙げたDigiDream、1clean、Findooのアプリが含まれていた。またシマンテックが詳細な調査を行った結果、これら3組は異なる存在ではなく、実際には同一の人物または組織によってアプリが開発された可能性が高いとしている。
シマンテックは、2018年4月から12月までに公開されているものをサンプルとして検出に利用しており、Windows 10 Sモード(教育用途向けのエディション)を含め、すべてのアプリがWindows 10上で実行できることを確認している。
また8本のアプリは起動とともに、複数のタグを一元管理できるGoogleタグマネージャをもとにマイニング用JavaScriptライブラリーを取得。いったんマイニングが開始されると、ターゲットPCのCPUパワーが奪取される。シマンテックのブログでは、XMRマイニングを行うコインハイブJavaScriptライブラリの改造版が利用されていることも公表している。
またこれらアプリは、Webブラウザから独立して起動・動作するWindows 10アプリとなっており、OSシステム内の「WWAHost.exe」(JavaScript実行エンジン)プロセス環境で動作するようインストールされる。
シマンテックによると、シマンテックの警告を受け、マイニングJavaScriptもGoogle タグマネージャから削除されている。