クリプトジャッキングとは、コンピューター所有者の許可を得ずに、あるいは所有者が知らないうちに、そのコンピューターの処理能力を用いて仮想通貨のマイニングを行う行為である。ブラウザーベースの仮想通貨マイニングが再び可能となり、そこで収益が出せるようになったことから、仮想通貨界隈では最近、このクリプトジャッキングが勢いづいている。

 09年の発足後、世界中でビットコイン(BTC)の人気が高まるにつれて、個人のコンピューターで仮想通貨のマイニングを行うことはどんどん困難なものになっていった。収益をあげるために、ますます大量のエネルギーが必要になってきたからである。ASICチップのような、より効率的なマイニング・ハードウェアを用いることが次第に標準となり、個人が自宅コンピューターの前に座ってビットコインをマイニングし、お金を稼げるという時代は終わりを迎えたはずだった。

 しかし、14年に初登場したモネロのようなアルトコインの導入でブラウザーによるマイニング経由が再び可能となり、一匹狼のマイナーたちが大勢戻ってきた。モネロの性質上、マイニングにはASICチップが提供できないような大量のストレージが必要で、ASICでマイニングすることができなかったのだ。

 ただし、ブラウザーを通じたクリプトジャッキングは、単独のハッカーがあなたのコンピューターを乗っ取り、その処理能力を利用して仮想通貨のマイニングを行おうとするものだけではない。今日では、世界規模で大規模にクリプトジャッキングを行えるような、それ専用のビジネスやサービスが存在する。

コインハイブ : 人気のマイニングツール

 最近公表された、コンコーディア大学によるクリプトジャッキングについての研究によると、モネロのマイニング、ひいてはクリプトジャッキング全般において、現在もっとも一般的に用いられているスクリプトはJavaScriptによるブラウザー・マイニングプログラムのコインハイブである。

 コインハイブは、開発者にアプリケーション・プログラミング・インターフェース(API)を提供する形で機能する。開発者らは、このAPIを使ってウェブサイト訪問者のCPUリソースをモネロのマイニングに使用する。コインハイブは、ウェブベースの企業に対し自らをオンライン広告の代替として売り出しており、そのウェブサイトのメインページには、堂々と「ユーザーのCPUパワーであなたのビジネスを収益化しよう」と公言している。

 この「ブラウザー・マイニングの盛り返し」では、悪意ある者によるクリプトジャッキングの試みから、ケーブル会社がユーザーにオンライン広告を見せる代わりの収益化手段として使用しようとする比較的害のないものまで、さまざまな形態のものがある。

悪意あるクリプトジャッキングの事例

 クリプトジャッキングのマルウェアは、世界中のさまざまなウェブサイトに設置されている。コインテレグラフが1月下旬に報じたように、世界中の企業の55%以上が、このやり方に影響を受けている

 マイクロソフトの13日のブログ投稿によると、昨年9月から今年2月までの間に、平均64万4000台のコンピューターが仮想通貨マイニングを行うマルウェアに感染した。このブログには、クリプトジャッキングがさまざまな形態を取り得ることが記されている。たとえば、クリプトジャッキングのみが目的のビデオストリーミングサイトや、テクニカルサポートを騙って実際には仮想通貨のマイニングを行う詐欺サイトなどである。

PIC

source: microsoft.com

 1月には、ユーチューブがクリプトジャッキングの攻撃対象となったことが明らかにされた。匿名ハッカーが、ユーチューブ上で再生される広告にクリプトジャッキングのスクリプトを仕込んだのである。クリプトジャッキングを目的としたハッキングについての報告書によると、この影響を受けたユーチューブ・ユーザーがとくに多かったのは、日本やフランス、台湾、イタリア、スペインであった。

 最近では、テスラのアマゾン・ウェブサービス・ソフトウェア(AWS)のコンテナが、パスワード保護が不十分であったためにクリプトジャッキングの被害にあった。同様のクリプトジャッキングの例は、昨年10月にアビバとジェムアルトという企業のアマゾン・ウェブサービスでも起きている

 マイクロソフトは今月初め、12時間で40万件以上のクリプトジャッキングの試みをブロックしたと報告している。この攻撃者は、仮想通貨クラウドマイニングのマーケットプレース、ナイスハッシュを使用していた。これはさまざまな通貨をサポートしているが、マイクロソフトの報告書によると、この攻撃が目的としていたのはアルトコインであるエレクトロニウム(ETN)のマイニングであった。

 より大規模なものとしては、政府機関であるテレコム・エジプトが、エジプトのインターネットユーザーを仮想通貨マイニングサイトに誘導するようなミドルボックスにリンクされていたということが、3月にトロント大学が公表した研究で明らかにされており、そこではとくにコインハイブのサービスが名指しされている。

悪意のないクリプトジャッキングはありうるか

 コインハイブのマイニングスクリプトは、上にあげたような悪意あるものではないと考えられる、いくつかのケースでも用いられている。

 昨年9月、違法海賊サイトのパイレートベイは、本人に告知しないまま、訪問者のコンピューターで密かにモネロのマイニングを行っていた。このニュースが報じられたとき、パイレートベイは、サイトで広告を見るか、その代わりにコンピューターを仮想通貨のマイニングに使用させるかをユーザーに尋ねることで自己を弁護した。回答者の大半は、マイニングの方を選択した。

 その1週間ほど後、アメリカの主要ケーブルテレビ・ネットワークのショータイムが、密かにコインハイブを実行し、訪問者のコンピューターでモネロのマイニングを行っていたことが明らかになった。ショータイムも、ユーザーに広告を表示する代わりの収入源としてコインハイブを使用したと説明した。

 サイトが訪問者に知らせることなくコインハイブを使用していたことが判明した複数のインシデントへの対応として、マイニングスクリプト企業は自身のサイトを更新し、コンピューター上でマイニングを行う前には許可を求めるようにという声明を付け加えた。コインハイブは17年9月に次のように述べている。

 「当社は、ユーザーに何が起きているのかを開示しないままに、ましてや許可を求めないままにコインハイブを自身のページに組み込んでいる者が当社の顧客の中にいたことを残念に思う」

 しかし、サイト訪問者に許可を求めない方法は未だに存在し、テレコム・エジプトのような例もあることから、コインハイブが彼らの約束を徹底することはできなさそうだ。

許可ベースのクリプトジャッキング:米メディアが導入

 ニュースサイトのサロン(Salon.com)は、ユーザーに対し、広告を見るかわりにサロンに「コンピューターの処理能力で未使用の部分」へのアクセスを許可するという選択肢を与えることで、クリプトジャッキングのトレンドに飛び乗った。この新しい選択肢について、サロンのFAQには「マイニング」という言葉や「コインハイブ」という企業についての直接の言及はない。しかしファイナンシャルタイムズによると、この新しい方法についてのサロンのポップアップでは、「コインハイブ搭載」と言う文字が強調されているという。

 コインテレグラフの寄稿者の1人で税理士でもあるセルバ・オゼッリ氏は、サロンによる従来の広告に変わる新たな収益化手段としてのモネロ・マイニングの使用は、アメリカでは違法ではないと言う。しかし、仮想通貨マイニングを取り巻く税規制においては、サロンがこの方法で訪問者から得た収入は、適切に課税されなくてはならないとオゼッリ氏は述べている。

 「内国歳入庁通告2014-21の下では、仮想通貨/ビットコインのマイニングは非課税ではない。ビジネスとして仮想通貨/ビットコインをマイニングした場合、マイナーは課税対象年のビットコインマイニングによる収入を計上しなくてはならない」

 マイニング収益への課税額を計算する際には、マイニングの経費、つまり「電気代とマイニング設備の減価償却」の控除が含まれるため、サロンが所得税申告書にその経費をどのように説明するのかは不透明である。

 オゼッリ氏は、内国歳入庁(IRS)は、これら新たな種類の営利目的のマイニングのためのフレームワークを作る必要性にかられる可能性が高い、とコインテレグラフに語った。

 「仮想通貨マイニングのビジネスに関与する者では電気代はマイニングの経費として控除されるため、将来的にIRSのガイドラインが提供される可能性が高い」

 許可を前提としたクリプトジャッキング事業モデルのもう一つの例は、思いがけないところにある。それはユニセフ(国連児童基金)である。ユニセフは2月にシリア難民のための募金活動を開始した。ユニセフはここで、法定通貨の受け入れに加え、コンピューターゲーマーをターゲットとして、彼らが使用していない間、慈善活動として彼らのハイパワーなコンピューターをイーサリウム(ETH)のマイニングのために使用させてくれるようお願いしたのである。

クリプトジャッキングの倫理

 ユーザーのコンピューター処理能力を、ユーザーの許可なしに、あるいはユーザーに気づかれないように吸い上げる悪意あるクリプトジャッキングのケースは、明らかに非倫理的で違法な行為として分類できる。しかし、サロンやユニセフによる、許可を前提としたクリプトジャッキングでは、その結果が完全に理解されない可能性のある選択肢をユーザーに提供することに対し、その道徳性に関しての倫理的な論議が持ち上がる。

 先述のコンコーディア大学によるクリプトジャッキングについての研究でもこの倫理問題が論じられており、広告を避けるため、あるいは有料コンテンツにアクセスするためや高画質ビデオを見るための代償として仮想通貨マイニングに「参加」することに同意する際、平均的なインターネットユーザーが自分が何に同意しているのかを理解できているだろうかという点について疑問が生じる。

 それに承諾することで電気代が上がる可能性やコンピューターの処理やインターネット接続が遅くなる可能性、機器の寿命が短くなる可能性について多くのユーザーが理解していないかもしれないということは、大いにありうる。これは、サロンの場合のように、許可を得る言葉が意図的に曖昧であったり誤解を招くものであったりした場合には特にあてはまる。

 一方で、コンコーディアの報告書では、すでにプライバシー開示やクッキー追跡などにおいて、多くのインターネットユーザーがそれをよく読まないまま、あるいは理解しないまま同意しているという考えにも言及されている。そしてこの報告書では、悪意のないクリプトジャッキングの倫理に関する結論として、「明白」なものは何もなく、想定される規制に向けて、そのさじ加減についてさらに議論すべきだと述べている。

自分のコンピューターをクリプトジャッキングから守るには

 あなたが自分のコンピューターの未使用時間をユニセフに提供しようと考えているコンピューターゲーマーでなく、またサロンを定期的に読んでもいなかったとしよう。あなたのコンピューターにクリプトジャッキングのマルウェアが侵入するのを避けるにはどうすれば良いだろうか。

 一つの選択肢は、ウェブブラウザーのオペラを使用することである。同ブラウザは1月以降、ウェブ版とモバイル版の両方で、仮想通貨マイニングのスクリプトをブロックしている

 先述のマイクロソフトの報告書では、ウィンドウズ・ディフェンダー・アンチウィルスで望まないアプリケーションがブロックできると述べている。そこにはダウンロードをブロックされたコインマイナーの数が引用されており、その数は17年9月から18年1月にかけて、望まないアプリダウンロードのうちの2%から6%へと急増している。マイクロソフトは、ウィンドウズ・ディフェンダーのさまざまなプログラムで企業ネットワークに仮想通貨マイニングが侵入するのを防ぐことができるとつけ加えている。

 コインテレグラフも昨年10月に、自分のコンピューターがクリプトジャッキングされていないかどうかをチェックするためのガイドラインを公表した。まずすべきことは、あなたのコンピューターのCPU使用率をチェックすることであり、そこでウェブサイト訪問後に説明のつかない負荷の急上昇がないかどうかを確かめることである。

 広告ブロックツールを使うのも一つの方法である。いくつかのツールでは、コインハイブがスクリプトのブロック対象リストに加えられている。マイクロソフトが最近発見してブロックしたトロイによる侵入のような、さらに悪意のあるマルウェアのターゲットにされているかもしれないと思うなら、タスクマネージャーを使って悪意あるスクリプトを終了させることもできる。

The interview with Selva Ozelli for this article was conducted in collaboration with Cointelegraph contributor, Gareth Jenkinson.