MicrosoftとIntelが勝手に仮想通貨を採掘する「クリプトジャッキング」からデバイスを保護する機能を発表

MicrosoftとIntelが2021年4月26日、エンタープライズ向けのセキュリティプラットフォームであるMicrosoft Defender for Endpointに、第三者の端末を許可なく使って暗号資産(仮想通貨)の採掘を行う「クリプトジャッキング」からデバイスを保護する機能を統合したと発表しました。

Defending against cryptojacking with Microsoft Defender for Endpoint and Intel TDT - Microsoft Security
https://www.microsoft.com/security/blog/2021/04/26/defending-against-cryptojacking-with-microsoft-defender-for-endpoint-and-intel-tdt/

Intel Collaborates with Microsoft against Cryptojacking :: Intel Corporation (INTC)
https://www.intc.com/news-events/press-releases/detail/1461/intel-collaborates-with-microsoft-against-cryptojacking

Microsoft Defender now blocks cryptojacking malware using Intel TDT
https://www.bleepingcomputer.com/news/security/microsoft-defender-now-blocks-cryptojacking-malware-using-intel-tdt/

近年ではビットコインをはじめとする仮想通貨の価格が高騰している影響を受け、第三者のデバイスを利用して仮想通貨を採掘する「クリプトジャッキング」を実行するマルウェアが急増しているとのこと。クリプトジャッキングを実行するマルウェアは典型的なマルウェア防御対策を回避するために洗練され、検出がますます難しくなっているそうです。

そこでMicrosoftとIntelが協力して、マルウェアが難読化されている場合でもクリプトジャッキングの兆候を検出し、デバイスを保護するCPUベースの脅威検出を使用した機能を開発しました。新たな機能はIntelのシリコンレベルの脅威検出機能セット「Intel Threat Detection Technology(TDT)」に基づくものであり、エンタープライズ向けのセキュリティプラットフォームであるMicrosoft Defender for Endpointに統合されます。

以下の動画を見ると、TDTを使用した脅威検出テクノロジーがどのようになっているのかがわかります。

Endpoint Security with Microsoft Defender for Endpoint with Intel® TDT | Intel Business - YouTube


近年では仮想通貨の高騰に伴ってクリプトジャッキングが急増しており、Avira Protection Labsの調査では2020年の第4四半期には第3四半期と比較してクリプトジャッキングが53％も増加したとのこと。クリプトジャッキングは仮想通貨の採掘に要するリソースを無断で奪うため、デバイスの速度が低下するといった問題が起きてしまいます。

クリプトジャッキングマルウェアは仮想マシンを隠れみのとしたりバイナリを難読化したりして、典型的なセキュリティソフトを回避しようと試みているとのこと。

ユーザーのデバイスがクリプトジャッキングマルウェアをインストールすると、本体や仮想マシンで仮想通貨の採掘が行われます。

CPUが処理する命令のパフォーマンスなどに関するテレメトリーデータは、CPUパフォーマンスモニタリングユニット(PMU)によって記録されます。

Intelの脅威検出テクノロジーであるTDTは、PMUが送信するテレメトリ―データに機械学習を適用し、最小限の処理でマルウェアが実行された際に特有の兆候を検出するとのこと。CPUベースの監視を行うことで、マルウェアの難読化や仮想マシンの使用などのセキュリティソフトウェア対策に関係なく、クリプトジャッキングを検出できる仕組みです。

TDTが統合されたMicrosoft Defender for Endpointはクリプトジャッキングを実行するソフトウェアやプロセスをわずか数秒で遮断し、デバイスのマシンパワーが無駄に消費されることを防ぎます。

新たな機能は第6世代以降のIntel Coreプロセッサーおよびインテル vPro プラットフォームを使用しているユーザーで利用可能になるとのこと。Microsoftの主任セキュリティ研究マネージャーであるKarthik Selvaraj氏は、「このパートナーシップは、OEMおよびテクノロジーパートナーとのコラボレーションに対する継続的な投資の一例です。Microsoftはチップメーカーと緊密に協力して、ハードウェアベースの防御強化に関する新たな可能性を常に模索し、サイバー脅威に対する堅固で回復力のある保護を提供しています」と述べました。