ブラウザーのポップアップウィンドウで仮想通貨採掘スクリプトを実行し、閉じられにくいようにする手法 28
ストーリー by headless
地味 部門より
地味 部門より
ユーザーの目につきにくい位置にWebブラウザーのポップアップウィンドウを開き、仮想通貨採掘スクリプトを実行する手法が確認されたそうだ(Malwarebytes Labsの記事、
Ars Technicaの記事、
The Registerの記事、
Windows Centralの記事)。
Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。
新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くというものだ。ポップアップウィンドウの存在はタスクバーのボタンで確認でき、タスクバーを半透明にしていれば透けて見える。また、タスクマネージャーでもWebブラウザーのプロセスが残っていることは確認できるが、注意を払っていなければそのままになる可能性もある。演算量を絞ることで気付かれにくいようにする手法も用いられているようだ。なお、動作はGoogle Chrome上で確認されており、別のWebブラウザーでは結果が異なる可能性もある。
無断で行われる仮想通貨採掘には、仮想通貨「Monero」を採掘するCoinhiveのスクリプトが使われることが多いようだ。Coinhiveのスクリプトをブロックする方法は9月にAdblock Plusが紹介しているが、スクリプトを別のサイトでホストし、JQueryやGoogle Analyticsに偽装することでブロックを迂回する手法も確認されている。仮想通貨採掘スクリプトはWeb広告に代わる存在となることも期待されているが、現在のところ悪い話の方が目立っている。
Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。
新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くというものだ。ポップアップウィンドウの存在はタスクバーのボタンで確認でき、タスクバーを半透明にしていれば透けて見える。また、タスクマネージャーでもWebブラウザーのプロセスが残っていることは確認できるが、注意を払っていなければそのままになる可能性もある。演算量を絞ることで気付かれにくいようにする手法も用いられているようだ。なお、動作はGoogle Chrome上で確認されており、別のWebブラウザーでは結果が異なる可能性もある。
無断で行われる仮想通貨採掘には、仮想通貨「Monero」を採掘するCoinhiveのスクリプトが使われることが多いようだ。Coinhiveのスクリプトをブロックする方法は9月にAdblock Plusが紹介しているが、スクリプトを別のサイトでホストし、JQueryやGoogle Analyticsに偽装することでブロックを迂回する手法も確認されている。仮想通貨採掘スクリプトはWeb広告に代わる存在となることも期待されているが、現在のところ悪い話の方が目立っている。
何処かのブログで読んだけど (スコア:1)
Coinhiveホストに不正な結果を返し続けていればIPごとブロックしてくれるとか。
Re: (スコア:0)
そのうちCoinhive側が対策打って二段階認証するようになるんじゃないかな。
ポップアップウィンドウ禁止しろよ (スコア:1)
広告といいポップアップウィンドウは悪用されっぱなしで百害あって一利なしじゃねーか。
廃止しちまえよ。
Re: (スコア:0)
ポップアップウィンドウなんて広告ブロッカーで全部禁止でいいんだけど、広告以外でポップアップを使う「正規サイト」の方が問題だ。
今どき「ブロッカー解除してください」とかアホかと。バカかと。
BTMUって銀行なんだけどさ、何年も改善しようともしないし何を考えてんだ?
Re: (スコア:0)
何も考えてないだけじゃないか。
別の銀行だけど、パスワードがいまだに数字4ケタなんだよねえ・・・。
日本語だとMから始まって英語だとSから始まる某銀行なんだけどさ。
入口がこの体たらくで「わんたいむぱすわーどなのでセキュアですっ!」とか笑かしてくれるわ。
Re: (スコア:0)
数字4桁だとセキュアじゃなくなるんですか?
試行回数制限や多要素認証が厳格であれば、数字4桁でも十分セキュアなつくりにできるように思えますが。
Re: (スコア:0)
もっと言うと、もうパスワードの長さや複雑さなんてセキュアな要件にすらならないんだよね。
ロガーで丸ごと抜くから長さなんて関係ないし、当然試行回数制限も無意味だし、かろうじて効くのが多要素認証。
それすらセッション横取りして盗まれる時代だけどね。
スクリプト禁止 (スコア:1)
だからさぁ、昔みたいにJavaスクリプト無効にしても問題ないようにすれば何の問題もないんだよ
本当にJavaスクリプトを用いたインタラクティブ性が必要なサイトなんてごく少数なんだから
システム屋もクライアントスクリプトの分の仕事減るしいいことだらけ
GoogleとかJavaスクリプトの活用で恩恵受けた側だから言わないけれど、そうじゃなければ真っ先に言ってただろうに
Re:スクリプト禁止 (スコア:1)
.onion なダークウェブの世界では Tor Browser セキュリティレベル高 (JavaScript・フォントレンダリング・特殊画像等無効) で閲覧できるようにするため、JavaScript無効でも見られるサイトが大半です
それなのに、今はCSSがだいぶ拡張されているみたいで画面内に仮想ウインドウがポップアップしたり、サブメニューがクリックでアニメーションしながらヌルっと出てきたりと WEB2.0的なリッチなUIなサイトも見かけます
display:none したチェックボックスに対して input[type="checkbox"]:checked セレクタを使ってJavaScriptのonclick相当のことをするなど工夫次第でJavaScript無しでもある程度のリッチウェブが再現できます
最近の若い人は知らないでしょうが、昔はIEがあまりにも危険でアダルトサイトをちょっと見ていただけでマルウェアに感染したので、インターネットゾーンはセキュリティレベル高でJS無効にして、JavaScript必須で信頼できるサイトのみセキュリティレベル中の信頼済みゾーンに居れる運用が一般的でした
依然として0-dayのリスクはあるし広告ネットワークに悪意のあるコードが紛れ込むのも日常茶飯事なのですから、セキュリティのためJavaScriptは原則使わないようにして欲しいですね
画像のロールオーバー表現、階層メニュー、ハンバーガーメニュー、スムーズスクロールなんかのためにJavaScriptを使ってるサイトが多いですけど、これ全部CSSができます
ジャバスクオフのヴィジターなんていらない (スコア:1)
アドインカムを得ているサイトにとってジャバスクオフのヴィジターなんてエネミーなの
ジャバスクオフならグーグルアドセンスからのインカムもゲットできないし、グーグルアナリティクスのページビューもカウントされない
そんなヴィジターはサーヴァーのリソースを食いつぶすだけのハイエナよ
だからジャバスクオフだとアクセスできないようにワザと設計してるのよ
Re: (スコア:0)
なるほど、アフィサイトをどうしても見ないといけないときはスクリプトオフにすればいいのか
Re: (スコア:0)
でいうか、普通そうでしょ。ログインしなきゃいけない環境以外は基本的にCookieもJavascriptもオンにする必要性ないし。
Re: (スコア:0)
グローバルなベストプラクティスとグローバルなオポチュニティですね
Re: (スコア:0)
こうですか?
広告収入を得ている運営者にとって JavaScript を無効にしている閲覧者なんて敵なの
JavaScript が無効なら Google AdSense の収入も得られないし、Google Analytics は閲覧数に数えない
そんな閲覧者は運営の資源を食いつぶすだけのハイエナよ
だから JavaScript が無効だと閲覧できないように態と設計してるのよ
Re: (スコア:0)
忍者ツールズとか有名だね。
Adblock系のアプリケーション側もそれに対抗した機能があるものもある。
Re: (スコア:0)
> 昔みたいにJavaスクリプト無効にしても問題ないようにすれば何の問題もないんだよ
そうあってほしいのですが、現状はいろいろなところから JavaScript を取ってきてサイトが作られています
なので読み込まれる JavaScript が置いてあるサイトごとに有効無効を切り替える拡張機能 ScriptSafe を使って
必要最小限の JS だけを有効にしてサイトを見ています
ときどき note.mu のような、よくわからない JS のどれがサイトの表示に必要かわからないところがありますが
そこは閲覧をあきらめています
塵も積もれば (スコア:1)
山となるんだろうか・・・
MoneroのマイニングってGPGPUをフルで一晩回しても数十円とかってレベルだからなぁ。
1人で一日0.05円として10万人で5000円として5000円×30日で月に15万円。
YoutubeとかFaceBookとかインスタレベルのPVあればそれなりに回収できそうだけどね。
#Webアクセスベースで300万人/月ぐらいの集客力あるサービスなら
#こんな事しなくても金が集まりそうな気がするけどねぇ・・・
Re: (スコア:0)
コインの暴騰狙いじゃ?
#上がれば上がるほどマイニングも難しくなるけど。
ポップアップ広告と手口一緒やんけ (スコア:0)
忌み嫌われたポップアップ広告が一旦滅んで蘇ってきたやつじゃん。
閲覧者の目にとまるか否かの違いでやってることが大して変わらないという。
スクリプトのブロックor処理抑制 (スコア:0)
メインサイトと異なるドメインからスクリプトを読み込むケースにしか効果が無いけど
クロスドメインアクセスを制限する拡張機能でスクリプトの読み込みをブロックできる。
ちなみにchromiumでは少し前にバックグラウンドタブの電力消費抑制機能が実装されたけど
ポップアップは(厳密にいうと)非アクティブではあっても「バックグラウンドタブ」ではないので
抑制効果はないってことなんだろうか。
#自分はタスクバーを左に置いている(加えて自動的に隠す設定にしている)んだけど、少数派かな?
右とか左とか (スコア:0)
タスクバーを下以外に配置しててもそこに隠れるんだろうか。
左右だと細いけどうまくディスプレイからはみ出るように…?
Re: (スコア:0)
たぶん隠れないでしょうね
逆にタスクバーを上に設置してるとウィンドウのタイトルバーが隠れちゃうことがあってよく困ります
わざわざウィンドウを最大化しないといけないからめんどくさい
Re: (スコア:0)
自動的に隠す設定にしている場合も気になる。
数ドット幅の所に隠れようとするのだろうか。
MS Defenderもお怒り (スコア:0)
MS Defenderにウイルス・マルウェア扱いされてるから方法変えないとダメな気がするよ
CPUの温度を表示している (スコア:0)
タスクマネージャでもいいんですが、
通知の所に、CPU温度を表示するソフトでコア温度を常時表示させています
なにか意図せずCPUを食いつぶしているのが居ると、すぐ判りますから
お勧めです。
もちろんそれ以前にAdblockやhosts等色々対策はしていますが。
ブラウズする代わりに採掘していれば今頃お金持ちに (スコア:0)
採掘ドメインにアクセスするたびに不正な結果を送るアドオンを作れば面白いことになりそう
CPUパワーだけでは速度が出ないような (スコア:0)
どうせCPU実行な上Javascriptだから速度は知れてるでしょ
つーかWebCLってどうなったんだっけ
アレが実用化されればガチでブラウザ上マイニングが実用レベルになりそうだが
Re: (スコア:0)
IoT使ったボットネットの威力を知らんのか・・・
速度出ない環境でも100万個あれば100万倍の処理速度になるぞw