CoinhiveのURL短縮機能が悪用されハッカーサイト経由で仮想通貨マイニングに利用されるケースが発覚

ウェブサイトの運営者が訪問者に仮想通貨をマイニングさせ、その収益を受け取る「Coinhive」の仕組みを悪用し、訪問者が気づかないうちにマイニングをさせて利益を横取りする手口がセキュリティ専門企業の調査により明らかになっています。

Obfuscated Coinhive shortlink reveals larger mining operation - Malwarebytes Labs | Malwarebytes Labs
https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation/

CoinHive URL Shortener Abused to Secretly Mine Cryptocurrency Using Hacked Sites
https://thehackernews.com/2018/07/coinhive-shortlink-crypto-mining.html

Coinhiveは専用のJavaScriptをサイトに埋め込むことで訪問者に仮想通貨「Monero」のマイニングを行わせるという仕組みです。サイト訪問者が特別な行動を取らなくてもサイト運営者に利益をもたらすものであることから可能性に光を見いだす人がいる一方で、一部のハッカーによって悪用されるケースが後を絶たず、セキュリティ企業やアンチウイルス関連サービスが対策を行って不正利用をつぶしている状況です。

そんな中で、セキュリティ企業「Malwarebytes Labs」の調査員が、「Coinhiveに備わっているURL短縮機能を悪用して本来とは異なるサイトに訪問者を誘導することで、他人のマシンパワーを使って自分のためにマイニングを行わせる」という新たな手口を見つけました。

Coinhiveの短縮URL生成機能の仕組みは、あるサイトの短縮URLがクリックされてページがロードされる際に一定時間の待ち時間を設けて、その間にマイニングを行わせることで収益を上げるというもの。この仕組みにより、サイト運営者は短縮URLから流入してきた訪問者が一定のマイニングを完了した時点でサイトのコンテンツを提供するという、Coinhive流のマネタイズ方法を利用することができます。

Malwarebytes Labsは、悪意のあるハッカーが関係の無いページのHTMLソースの中にiframeタグをひっそりと忍び込ませることで自分のサイトにユーザーを転送してマイニングを行わせていることを発見しました。iframeタグは1×1ピクセルという大きさのコンテンツを表示させるようになっており、通常の方法でこれに気付くことはほぼ不可能といえます。

この仕組みを再現した様子が以下の画像。ページを開くと、目的のページが表示されるまでの待ち時間の間にCPUパワーが100％に増加していることがわかります。

さらに、この「待ち時間」はCoinhiveの設定の中でハッシュ値を変更することで自由に変えることが可能。通常は1024ハッシュとなっているところが、371万2000ハッシュが設定されているケースもあったとのこと。

そしてさらに、規定のハッシュ値に達してページがロードされる際に再び同じページを読み込ませることで、もう一度マイニングさせるという手口も確認されているとのこと。この時、この仕組みに気づいていないユーザーは「あれ？ページがリロードされたのかな？」と思うぐらいで、その裏でマイニングが行われていることに気づけるのはCPUパワーの異常な増大に気づいている人ぐらいだとのこと。

Coinhiveに関しては、「仮想通貨の新たな可能性」という見方から「ただのマルウェア」という批判まで賛否両論が巻き起こっています。日本ではCoinhiveを使っていた人物が警察の家宅捜査を受けたことが話題になり、さらにその一件が海外メディアで報じられるなど、全世界のネット上で注目を浴びているといえる状況です。

仮想通貨マイニング（Coinhive）で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
https://doocts.com/3403

なお、Coinhiveによる「CPUパワーただ乗り」を避けるには、「MinerBlock」や「No Coin」といったブラウザ拡張機能を導入するという方法もあります。