「出前」を止めたRedTail 暗号資産市場で暗躍、コンピューターのリソース狙う

闇バイトや個人情報の抜き取りなど被害が深刻化するサイバー犯罪。個人を狙うものだけではなく、企業や官公庁を狙った犯罪も後を絶たない。今年10月26～29日、料理のデリバリーを展開する「出前館」がシステム障害を理由にサービスを停止した。暗号資産の計算を行う「RedTail」というマルウエア（悪意のあるプログラム）がサーバーに侵入していたことが原因だ。RedTailの目的は、機密情報や個人情報ではなくコンピューターのリソース。暗号資産市場の裏で暗躍するマルウエアの被害がサービス停止という実害として顕在化した例は珍しいという。

ビットコインに代表される暗号資産は、世界中の有志による取引情報の計算によって成り立つ。計算をいち早く終えた協力者には、報酬としてその暗号資産が付与される仕組みで、計算は鉱物を掘り出す工程になぞらえ「マイニング（採掘）」と呼ばれている。

計算のスピード競争に勝ち抜き、報酬を手にするには高い能力のコンピューターが必要となる。第三者のネットワークに侵入してコンピューターに居座り、計算を肩代わりするマルウエアは、ビットコインが注目を浴び始めた15年ほど前に出現した。

出前館をサービス停止に追い込んだRedTailは、暗号資産「モネロ」のマイニングを行う。セキュリティー会社「トレンドマイクロ」の調査によれば、日本では春頃から感染が報告されるようになった。こうした不正なコインマイナー（マイニングをするプログラム）は被害の全貌がつかみにくい特性を持っている。

機密情報を抜き出したり、暗号化したりするランサムウエアは、そのデータをたてに〝身代金〟を要求するため、犯行を相手側に通告する必要がある。一方、不正なコインマイナーはコンピューターの「処理能力」が目的で、侵入者は名乗り出る必要がない。出前館のケースでも、サービスの運用を監視するチームがサーバーに高い負荷がかかっていることに気が付き、問題が発覚した。

取引履歴が開示されているビットコインと違い、モネロは匿名性が高く攻撃者の特定が困難となる。不正なコインマイナーによって機密情報が流出するような実害が出る可能性は低く、感染しても公表しないケースがあるとみられる。トレンドマイクロによると、不正な「採掘」行為は、深刻な被害をもたらすランサムウエアなどの侵入につながる「穴」があることを意味している。

今回の件で、侵入された経路にあるすべてのサーバーにマルウエアがないか点検するなどの作業に追われた出前館の担当者は、「利用者や加盟店、配達員にご迷惑をおかけした。申し訳ない」としている。（渡部圭介、藤木祥平）

サイバー犯罪後絶たず　生成AI悪用ケースも

大量のデータを送り付けシステム障害を起こすDDoS（ディードス）攻撃や身代金要求型ウイルス「ランサムウエア」などのサイバー攻撃をはじめ、インターネット空間での犯罪は後を絶たない。中には生成AI（人工知能）をはじめとする高度な技術を悪用するものもあり、警察当局も注意を呼びかけている。

警察庁によれば、全国の行政機関や民間企業などでインターネットを使った犯罪被害が確認されている。令和4年には「大阪急性期・総合医療センター」（大阪市）が攻撃を受け、大規模なシステム障害が発生。岡山県精神科医療センター（岡山市）では今年6月、システムがサイバー攻撃を受け、最大約4万人分の患者情報が流出した可能性があると発表した。

また中には生成AIを悪用した事例も含まれるといい、高度な技術を用いたサイバー犯罪も脅威となっている。5月には、対話型生成AIを悪用し、ランサムウエアを作成したとして、不正指令電磁的記録作成の疑いで川崎市の20代無職の男が警視庁に逮捕され、その後、東京地裁で有罪判決を受けた。

警察庁が公表したデータでは、サイバー攻撃の前兆ともなる脆弱（ぜいじゃく）性を探索する不審なアクセス件数は、今年上半期（1～6月）で1日1IPアドレス当たり9825件で、前年同期の8219件から約1600件増加。うち99％が海外から送信されたものだった。

また「対価を支払わなければ当該データを公開する」などと要求するランサムウエアの被害報告件数についても114件あり前年同期より増加した。

トレンドマイクロ・セキュリティエバンジェリスト　岡本勝之さん　「侵入に危機感を」

マイニングによって収入が得られる仕組みがある限り、RedTailのようなマルウエアを仕込む手口はなくならないだろう。

侵入先の処理能力を一気に使って稼ぐ手口もあるが、なるべく気付かれないようにしたほうが長期にわたって収益を得られる。気付かれないくらいのギリギリの負荷に抑え、被害者側が侵入に気付いたのは数カ月後、1年半後だった事例もあった。

対策としてはおかしな通信がないかの監視が前提になるが、突破されるルートは基本的に2つ。1つはバグなどに起因する脆弱（ぜいじゃく）性で、アップデートなどをきちんとすることが大切。もう1つは認証突破で、パスワード管理の徹底はもちろん、不審なログインがないかも確かめてほしい。

データが流出するわけではなく、深刻に受け止められないかもしれないが、マイニングに悪用されたということは侵入を許したということ。ランサムウエアのような、もっと大きな被害が出た可能性もある。脆弱性が解消されていない「侵入口」情報を売るビジネスもあり、警戒してほしい。（聞き手　渡部圭介）