スーパーコンピューターで仮想通貨マイニングをもくろむサイバー攻撃が発生

ヨーロッパ各国に設置されている複数の高性能コンピューティング(HPC)システムが、「セキュリティ問題」のために次々と利用停止に追い込まれる事態が発生しています。この問題がサイバー攻撃によるものであり、攻撃者の目的がスパコンを用いた暗号資産(仮想通貨)のマイニングであることが、調査レポートで明らかになりました。

Academic data centers abused for crypto currency mining | EGI CSIRT
https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/

European supercomputers hacked in mysterious cyberattacks
https://www.bleepingcomputer.com/news/security/european-supercomputers-hacked-in-mysterious-cyberattacks/

Supercomputer in Europa gehackt: Mindestens neun in Deutschland betroffen - DER SPIEGEL
https://www.spiegel.de/netzwelt/web/supercomputer-in-europa-gehackt-mindestens-neun-in-deutschland-betroffen-a-7d9403b9-c7ea-4f84-a9d7-17bbdff3a954

問題のサイバー攻撃は2020年1月ごろから「危ないものなのではないか」と認識されていましたが、はっきりと影響を及ぼすようになったのは2020年5月に入ってからのこと。イギリスやドイツ、スイスなどで、複数のHPCシステムがセキュリティ問題のため、利用できなくなりました。

ユーザーに対して「セキュリティ問題でスパコンが使えなくなる」という通知はあったものの、どういった問題が起きているのかという詳細は明かされていませんでしたが、2020年5月15日にヨーロッパ・グリッド・インフラストラクチャ(EGI)という組織のコンピュータセキュリティインシデント対応チーム(CSIRT)が、情報をまとめて発表しました。

EGI CSIRTによると、事象は大きく「#EGI20200421」と「#EGI2020512」の2つで、互いに関連するものなのかそうではないのかは不明だとのこと。

ただ、いずれの攻撃者グループも「研究用のコンピューティングリソースを仮想通貨『Monero』のマイニングに利用する」という目的で攻撃を仕掛けてきていることが共通しています。

通常、研究者が自分のコンピューターをHPCシステムに直接接続することはなく、ユーザーアカウントとSSHの鍵認証を用いたセキュアなオンラインアクセスを利用しています。攻撃者がどうやってSSHの資格情報を盗み出したのかははっきりとしていませんが、一部の被害者において、危険なSSHバイナリが見つかっているとのこと。

また、攻撃者は悪意ある活動を隠蔽するためにさまざまなテクニックを駆使しており、中には、検出を避けるために夜間のみ活動するよう設定された事例もあるそうです。

ヨーロッパでこの攻撃の影響を受けたスパコンはすでに10数台に上っており、EGI CSIRTによれば、ヨーロッパのほかに北米や中国でも被害者が確認されているとのことです。