2018年02月13日 17時45分セキュリティ

4000以上の政府系サイトで閲覧者に対して仮想通貨マイニングを行わせるスクリプトが埋め込まれていたことが判明

By Christiaan Colen

世界中の4000以上の政府系ウェブサイトがハッキングの被害を受け、サイトを訪れた閲覧者に知らぬ間に仮想通貨マイニングを行ってしまうスクリプトを送りつけてハッカーの仮想通貨マイニングに利用していたことが判明しました。犯行手段としてハッカーは、仮想通貨マイニングを行うスクリプトを政府系ウェブサイトの弱視者用バリアフリー機能に組み込んでいました。

Thousands of Government Websites Hacked to Mine Cryptocurrencies
https://thehackernews.com/2018/02/cryptojacking-malware.html

サイバー犯罪の世界では、ターゲットとなるサイトに暗号通貨を発掘して稼ぐスクリプトをハッキングで埋め込むという手口「Cryptojacking」が流行しており、今回の一件もその手法によって多くのサイトと利用者がターゲットとなりました。このハッキングでは4000以上の政府系ウェブサイトが被害を受けると同時に、そのサイトを訪問した閲覧者に対しても知らぬ間に暗号通貨を発掘するスクリプトを送りつけてマイニングに利用していました。この被害に遭っていた政府系サイトの一例は以下のとおりです。

・The City University of New York(ニューヨーク市立大学)
・Uncle Sam’s court information portal(米国裁判所の情報ポータルサイト)
・the UK’s Student Loans Company(イギリスの学生ローン会社)
・Information Commissioner’s Officeイギリス情報委員会：ICO
・The Information Commissioner’s Office(プライバシー監視委員会事務局)
・Financial Ombudsman Service(イギリスの金融監視局)
・UK NHS services(イギリス国民健康保険：NHS)
・Queensland legislation(オーストラリア連邦クイーンズランド州立法局)
・US government’s court system(アメリカ立法局ウェブサイト)

以下のリンク先からは、ハッキングされた政府系ウェブサイトの一覧を確認できます。

browsealoud.com/plus/scripts/ba.js - 4300 Websites - PublicWWW.com
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

ハッキングされた政府系ウェブサイトを訪れた閲覧者は、マシンのパワーを乗っ取られ、本人が気付かないうちに仮想通貨Moneroを増やすマイニングを行わされていました。このCryptojackingで発掘された仮想通貨はハッキングの犯行を行ったハッカーのものとなり、ハッカーは多大な利益を得たと見られています。

このCryptojackingの中で、ハッカーはサイトのアクセシビリティを向上させるプラグイン「BrowseAloud」を悪用していたことが明らかになっています。BrowseAloudは盲目の人や弱視の人がウェブサイトを閲覧するのを助けるバリアフリー機能のプラグインで、ウェブサイトのテキストを音声として読み上げる機能を持ちます。ハッカーはこのBrowseAloudに、サイト閲覧者のCPUリソースを乗っ取ることが可能なサービス「CoinHive」のJavaScriptコードを組み込むことで、Cryptojackingを行っていました。

CoinHiveはかつて、人気トレントサイト「The Pirate Bay」が運営資金を調達するために使われていたもので、閲覧者にはそのことを知らせないうちにスクリプトを送りつけ、マイニングさせる実験が行われていました。

ウェブサイト訪問者のPCリソースを秘密裏に借り受けてブラウザを閉じても仮想通貨をマイニングし続ける手法が見つかる - GIGAZINE

この事件を受け、イギリスを拠点に活動しているデジタルセキュリティコンサルタントのScott Helme氏は、TwitterでCryptojackingを使った犯罪行為が広がっていることを公表しました。

Ummm, so yeah, this is *bad*. I just had @phat_hobbit point out that @ICOnews has a cryptominer installed on their site... pic.twitter.com/xQhspR7A2f
— Scott Helme (@Scott_Helme)

この公表を受け、BrowseAloud運営会社のTexthelpは即座に対策に乗り出したとのこと。TexthelpのCTO(最高技術責任者)であるMartin McKay氏はTexthelpの公式ブログで声明を発表しています。

Literacy, Accessibility ＆ Dyslexia Software | Texthelp
https://www.texthelp.com/en-gb/company/corporate-blog/february-2018/data-security-investigation-underway-at-texthelp/

この中でMcKay氏は、「Texthelpは最近のサイバー犯罪の状況の観点から、Texthelpは2017年からその対策を進めてきました。今回のハッキングの一件では、即座に対策が採られて完了し、発覚から4時間以内にすべての顧客に対する措置を完了しました」と述べています。

またTexthelpは、ハッキングの発覚後すぐにすべてのサイトからBrowseAloudを取り除く対処をとり、顧客に影響がおよばない対策をとったことを強調。そして、顧客のデータに対してアクセスが行われたり消去された形跡はないことを明らかにし、調査完了後に対策済みのアップデート版BrowseAloudを顧客に向けリリースする予定と発表しました。