2018/02/23

巨大テクノロジ企業も仮想通貨マイニングの被害に

ビットコイン,コイン,仮想通貨
2018 年 2 月 23 日 Trevor Collins 著

Tesla は、自動車会社というだけでなく、Amazon AWS においても強い存在感を示す、最先端のテクノロジ企業として知られています。数人のハッカーが Tesla の AWS アカウントにアクセスし、仮想通貨のマイニングにそのアカウントを使用していたことがわかりました。

RedLock の最近のレポートによって、彼らがパスワードで保護されていない Tesla の管理コンソールにアクセスし、平文で保存されていた AWS API キーを取得していたことが明らかになりました。そして、これらの API キーを使用することで、機密性の高いテレメトリデータを参照したり、コンピューティングリソース割り当てを制御したりできていたことがわかりました。

Tesla の仮想処理能力へのアクセスが可能になったハッカーたちは、Tesla の Kubernetes 環境を使用し、仮想通貨マイニングを秘密裏に開始していました。RedLock は、攻撃者がマイニングを行っていた仮想通貨が何であったかについては言及していません。

いくつもの隠匿方法を使っていたことから、攻撃者たちは周到に計画して行動しており、おそらくは同様の行為を過去にも行っていたものと考えられます。具体的には、次のような隠匿方法が使用されていました。

  • 一般公開されているマイニングプールを使用していなかった。これは、ネットワーク監視ツールによって、既知のマイニングプールサーバへの不審な接続として検知されるのを防ぐためと思われます
  • マイニングソフトウェアをカスタマイズして非標準ポートを使用するようにすることで、ファイアウォールがポート使用によって不正接続を識別できないようにしていた
  • 自分たちのプールアドレスを、正当な(時には不正な)目的で使用されるコンテンツ配信ネットワークである CloudFlare に隠していた
  • サーバの負荷が高くなって気付かれるのを避けるため、マイニングソフトウェアを構成して CPU 使用率が低くなるようにしていた

このレポートを読むと、他人のコンピュータを乗っ取って仮想通貨のマイニングに悪用する新たな手口のように見えますが、そのレベルはこれまでよりもはるかに高度なものです。世界有数のテクノロジ企業であっても、このような攻撃の被害者になる可能性があるのです。

Tesla にとって幸運だったのは、テレメトリデータの外部の被害が皆無であったこと、また、ランサムウェアなどの有害性がさらに高い脅威を攻撃者が仕掛けなかったことでしょう。調査の結果、この攻撃で顧客の個人情報は流出していないことを Tesla は確認しましたが、さらに深刻な被害が発生していた可能性も十分にあったはずです。

Tesla が管理コンソールで API キーをパスワードで保護し、内部サーバに外部からアクセスできないようにしておけば、このような攻撃を回避できていたはずです。たとえば、内部サーバにインターネットからアクセスする必要がある場合は、VPN を使用してアクセスを制限し、セキュリティを確保する必要があります。今日の環境においては、たとえパスワードで保護しておいたとしても、機密性の高いリソースをインターネットに公開するべきではありません。–Trevor Collins