ブラウザーのポップアップウィンドウで仮想通貨採掘スクリプトを実行し、閉じられにくいようにする手法
タレコミ by headless
headless 曰く、
ユーザーの目につきにくい位置にWebブラウザーのポップアップウィンドウを開き、仮想通貨採掘スクリプトを実行する手法が確認されたそうだ(Malwarebytes Labsの記事、 Ars Technicaの記事、 The Registerの記事、 Windows Centralの記事)。
Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。
新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くというものだ。ポップアップウィンドウの存在はタスクバーのボタンで確認でき、タスクバーを半透明にしていれば透けて見える。また、タスクマネージャーでもWebブラウザーのプロセスが残っていることは確認できるが、注意を払っていなければそのままになる可能性もある。演算量を絞ることで気付かれにくいようにする手法も用いられているようだ。なお、動作はGoogle Chrome上で確認されており、別のWebブラウザーでは結果が異なる可能性もある。
無断で行われる仮想通貨採掘には、仮想通貨「Monero」を採掘するCoinhiveのスクリプトが使われることが多いようだ。Coinhiveのスクリプトをブロックする方法は9月にAdblock Plusが紹介しているが、スクリプトを別のサイトでホストし、JQueryやGoogle Analyticsに偽装することでブロックを迂回する手法も確認されている。仮想通貨採掘スクリプトはWeb広告に代わる存在となることも期待されているが、現在のところ悪い話の方が目立っている。