不正クリプトマイニング「PurpleUrchin」を実現してしまった“あのツール”とは：“凶器”になるクラウドサービス【後編】

サイバー攻撃集団Automated Libraは、不正なクリプトマイニング（暗号資産発掘）の攻撃キャンペーン「PurpleUrchin」を実現するために、さまざまなITツールや手法を駆使した。何を使ったのか。

[Alex Scroxton，TechTarget]

　サイバー攻撃集団Automated Libraは攻撃キャンペーン（一連の攻撃）「PurpleUrchin」を実行する際、クラウドサービスに加えて、さまざまなITツールを駆使した。PurpleUrchinは、不正なクリプトマイニング（暗号資産採掘）の攻撃キャンペーンだ。

「PurpleUrchin」を可能にした“あのツール”

併せて読みたいお薦め記事

連載：”凶器”になるクラウドサービス

• 前編：まるで食い逃げ？　ただ乗りでクラウドを悪事に使う「フリージャッキング」とは
• 中編：「クラウドがサイバー攻撃を容易にした」と専門家が指摘　その“真意”とは？

クラウドを悪用する攻撃

• 「Linux」が犯罪者に狙われ始めた“なるほどの理由”
• クラウドサービスの「アカウント乗っ取り」はこうして起こる

　Automated LibraはPurpleUrchinを可能にするために「継続的インテグレーション／継続的デリバリー」（CI/CD）ツールを利用している。複数の暗号資産取引サービスにおいてAutomated Libraは、取引を自動化する際にCI/CDツールとクラウドサービスで構築したシステムを使用したとみられる。

　クラウドサービスでの無料または期間限定の試用アカウントを悪用してクリプトマイニングを実行する「フリージャッキング」。Automated Libraがこのフリージャッキングを実施する上で、「コンテナ」が重要な役割を果たしたと考えられる。必要な機能やツール一式をコンテナ化することで、標的のクラウドサービス自体に影響を与えることなく、攻撃用システムの実行や更新、終了、交換が可能になるからだ。

　Automated Libraはクレジットカードを盗んだり、偽造したりしていたと、セキュリティベンダーPalo Alto Networksの研究チームUnit 42は説明する。Unit 42は、これらのクレジットカードを使って、以下が可能なことを確認した。

• 「GitHub」「Heroku」「Togglebox」などのサービスで13万件以上の偽アカウントを作成、利用できること
• クリプトマイニングを自動化するために、CI/CDツールを用いて、偽アカウントの発行と運用を自動化する仕組みを構築できること

　Unit 42は他にも、標的が気付く前にできるだけ長くCPUを使用できるようにする方法も確認した。これは訪問者が人であることを確認する偽アカウント排除技術「CAPTCHA」（Completely Automated Public Turing Test to Tell Computers and Humans Apart）を回避・突破したり、作成アカウント数を増やしたりすることで可能になったという。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。