パスワードを忘れた? アカウント作成
13469784 story
お金

ブラウザーのポップアップウィンドウで仮想通貨採掘スクリプトを実行し、閉じられにくいようにする手法 28

ストーリー by headless
地味 部門より
ユーザーの目につきにくい位置にWebブラウザーのポップアップウィンドウを開き、仮想通貨採掘スクリプトを実行する手法が確認されたそうだ(Malwarebytes Labsの記事Ars Technicaの記事The Registerの記事Windows Centralの記事)。

Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。

新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くというものだ。ポップアップウィンドウの存在はタスクバーのボタンで確認でき、タスクバーを半透明にしていれば透けて見える。また、タスクマネージャーでもWebブラウザーのプロセスが残っていることは確認できるが、注意を払っていなければそのままになる可能性もある。演算量を絞ることで気付かれにくいようにする手法も用いられているようだ。なお、動作はGoogle Chrome上で確認されており、別のWebブラウザーでは結果が異なる可能性もある。

無断で行われる仮想通貨採掘には、仮想通貨「Monero」を採掘するCoinhiveのスクリプトが使われることが多いようだ。Coinhiveのスクリプトをブロックする方法は9月にAdblock Plusが紹介しているが、スクリプトを別のサイトでホストし、JQueryやGoogle Analyticsに偽装することでブロックを迂回する手法も確認されている。仮想通貨採掘スクリプトはWeb広告に代わる存在となることも期待されているが、現在のところ悪い話の方が目立っている。
  • by Anonymous Coward on 2017年12月02日 19時22分 (#3322332)

    Coinhiveホストに不正な結果を返し続けていればIPごとブロックしてくれるとか。

    ここに返信
    • by Anonymous Coward

      そのうちCoinhive側が対策打って二段階認証するようになるんじゃないかな。

  • by Anonymous Coward on 2017年12月02日 19時41分 (#3322340)

    広告といいポップアップウィンドウは悪用されっぱなしで百害あって一利なしじゃねーか。
    廃止しちまえよ。

    ここに返信
    • by Anonymous Coward

      ポップアップウィンドウなんて広告ブロッカーで全部禁止でいいんだけど、広告以外でポップアップを使う「正規サイト」の方が問題だ。
      今どき「ブロッカー解除してください」とかアホかと。バカかと。
      BTMUって銀行なんだけどさ、何年も改善しようともしないし何を考えてんだ?

      • by Anonymous Coward

        何も考えてないだけじゃないか。

        別の銀行だけど、パスワードがいまだに数字4ケタなんだよねえ・・・。
        日本語だとMから始まって英語だとSから始まる某銀行なんだけどさ。
        入口がこの体たらくで「わんたいむぱすわーどなのでセキュアですっ!」とか笑かしてくれるわ。

        • by Anonymous Coward

          数字4桁だとセキュアじゃなくなるんですか?
          試行回数制限や多要素認証が厳格であれば、数字4桁でも十分セキュアなつくりにできるように思えますが。

          • by Anonymous Coward

            もっと言うと、もうパスワードの長さや複雑さなんてセキュアな要件にすらならないんだよね。
            ロガーで丸ごと抜くから長さなんて関係ないし、当然試行回数制限も無意味だし、かろうじて効くのが多要素認証。
            それすらセッション横取りして盗まれる時代だけどね。

  • by Anonymous Coward on 2017年12月03日 1時22分 (#3322425)

    だからさぁ、昔みたいにJavaスクリプト無効にしても問題ないようにすれば何の問題もないんだよ
    本当にJavaスクリプトを用いたインタラクティブ性が必要なサイトなんてごく少数なんだから
    システム屋もクライアントスクリプトの分の仕事減るしいいことだらけ

    GoogleとかJavaスクリプトの活用で恩恵受けた側だから言わないけれど、そうじゃなければ真っ先に言ってただろうに

    ここに返信
    • by Anonymous Coward on 2017年12月03日 2時01分 (#3322432)

      .onion なダークウェブの世界では Tor Browser セキュリティレベル高 (JavaScript・フォントレンダリング・特殊画像等無効) で閲覧できるようにするため、JavaScript無効でも見られるサイトが大半です
      それなのに、今はCSSがだいぶ拡張されているみたいで画面内に仮想ウインドウがポップアップしたり、サブメニューがクリックでアニメーションしながらヌルっと出てきたりと WEB2.0的なリッチなUIなサイトも見かけます
      display:none したチェックボックスに対して input[type="checkbox"]:checked セレクタを使ってJavaScriptのonclick相当のことをするなど工夫次第でJavaScript無しでもある程度のリッチウェブが再現できます

      最近の若い人は知らないでしょうが、昔はIEがあまりにも危険でアダルトサイトをちょっと見ていただけでマルウェアに感染したので、インターネットゾーンはセキュリティレベル高でJS無効にして、JavaScript必須で信頼できるサイトのみセキュリティレベル中の信頼済みゾーンに居れる運用が一般的でした
      依然として0-dayのリスクはあるし広告ネットワークに悪意のあるコードが紛れ込むのも日常茶飯事なのですから、セキュリティのためJavaScriptは原則使わないようにして欲しいですね
      画像のロールオーバー表現、階層メニュー、ハンバーガーメニュー、スムーズスクロールなんかのためにJavaScriptを使ってるサイトが多いですけど、これ全部CSSができます

      • by Anonymous Coward on 2017年12月03日 2時18分 (#3322436)

        アドインカムを得ているサイトにとってジャバスクオフのヴィジターなんてエネミーなの
        ジャバスクオフならグーグルアドセンスからのインカムもゲットできないし、グーグルアナリティクスのページビューもカウントされない
        そんなヴィジターはサーヴァーのリソースを食いつぶすだけのハイエナよ
        だからジャバスクオフだとアクセスできないようにワザと設計してるのよ

        • by Anonymous Coward

          なるほど、アフィサイトをどうしても見ないといけないときはスクリプトオフにすればいいのか

          • by Anonymous Coward

            でいうか、普通そうでしょ。ログインしなきゃいけない環境以外は基本的にCookieもJavascriptもオンにする必要性ないし。

        • by Anonymous Coward

          グローバルなベストプラクティスとグローバルなオポチュニティですね

        • by Anonymous Coward

          こうですか?

          広告収入を得ている運営者にとって JavaScript を無効にしている閲覧者なんて敵なの
          JavaScript が無効なら Google AdSense の収入も得られないし、Google Analytics は閲覧数に数えない
          そんな閲覧者は運営の資源を食いつぶすだけのハイエナよ
          だから JavaScript が無効だと閲覧できないように態と設計してるのよ

          • by Anonymous Coward

            忍者ツールズとか有名だね。
            Adblock系のアプリケーション側もそれに対抗した機能があるものもある。

    • by Anonymous Coward

      > 昔みたいにJavaスクリプト無効にしても問題ないようにすれば何の問題もないんだよ
      そうあってほしいのですが、現状はいろいろなところから JavaScript を取ってきてサイトが作られています
      なので読み込まれる JavaScript が置いてあるサイトごとに有効無効を切り替える拡張機能 ScriptSafe を使って
      必要最小限の JS だけを有効にしてサイトを見ています

      ときどき note.mu のような、よくわからない JS のどれがサイトの表示に必要かわからないところがありますが
      そこは閲覧をあきらめています

  • by Anonymous Cowarb (41551) on 2017年12月03日 21時22分 (#3322690) 日記

    山となるんだろうか・・・

    MoneroのマイニングってGPGPUをフルで一晩回しても数十円とかってレベルだからなぁ。

    1人で一日0.05円として10万人で5000円として5000円×30日で月に15万円。

    YoutubeとかFaceBookとかインスタレベルのPVあればそれなりに回収できそうだけどね。

    #Webアクセスベースで300万人/月ぐらいの集客力あるサービスなら
    #こんな事しなくても金が集まりそうな気がするけどねぇ・・・

    ここに返信
    • by Anonymous Coward

      コインの暴騰狙いじゃ?

      #上がれば上がるほどマイニングも難しくなるけど。

  • by Anonymous Coward on 2017年12月02日 19時36分 (#3322337)

    忌み嫌われたポップアップ広告が一旦滅んで蘇ってきたやつじゃん。
    閲覧者の目にとまるか否かの違いでやってることが大して変わらないという。

    ここに返信
  • by Anonymous Coward on 2017年12月02日 22時09分 (#3322391)

    メインサイトと異なるドメインからスクリプトを読み込むケースにしか効果が無いけど
    クロスドメインアクセスを制限する拡張機能でスクリプトの読み込みをブロックできる。

    ちなみにchromiumでは少し前にバックグラウンドタブの電力消費抑制機能が実装されたけど
    ポップアップは(厳密にいうと)非アクティブではあっても「バックグラウンドタブ」ではないので
    抑制効果はないってことなんだろうか。

    #自分はタスクバーを左に置いている(加えて自動的に隠す設定にしている)んだけど、少数派かな?

    ここに返信
  • by Anonymous Coward on 2017年12月03日 0時51分 (#3322420)

    タスクバーを下以外に配置しててもそこに隠れるんだろうか。
    左右だと細いけどうまくディスプレイからはみ出るように…?

    ここに返信
    • by Anonymous Coward

      たぶん隠れないでしょうね

      逆にタスクバーを上に設置してるとウィンドウのタイトルバーが隠れちゃうことがあってよく困ります
      わざわざウィンドウを最大化しないといけないからめんどくさい

    • by Anonymous Coward

      自動的に隠す設定にしている場合も気になる。

      数ドット幅の所に隠れようとするのだろうか。

  • by Anonymous Coward on 2017年12月03日 9時23分 (#3322469)

    MS Defenderにウイルス・マルウェア扱いされてるから方法変えないとダメな気がするよ

    ここに返信
  • by Anonymous Coward on 2017年12月03日 12時47分 (#3322513)

    タスクマネージャでもいいんですが、
    通知の所に、CPU温度を表示するソフトでコア温度を常時表示させています
    なにか意図せずCPUを食いつぶしているのが居ると、すぐ判りますから
    お勧めです。
    もちろんそれ以前にAdblockやhosts等色々対策はしていますが。

    ここに返信
  • 採掘ドメインにアクセスするたびに不正な結果を送るアドオンを作れば面白いことになりそう

    ここに返信
  • by Anonymous Coward on 2017年12月04日 3時35分 (#3322790)

    どうせCPU実行な上Javascriptだから速度は知れてるでしょ
    つーかWebCLってどうなったんだっけ
    アレが実用化されればガチでブラウザ上マイニングが実用レベルになりそうだが

    ここに返信
    • by Anonymous Coward

      IoT使ったボットネットの威力を知らんのか・・・
      速度出ない環境でも100万個あれば100万倍の処理速度になるぞw

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...