coinhiveブロック方法 仮想通貨マイニングウイルスIE11/Chrome/Firefox

イメージ 2

ブラウザに実装されてる JavaScript エンジンを利用して仮想通貨を採掘(マイニング)し収益を獲るシステムが注目を集めてます。

特に、仮想通貨の1つ Monero(読み方 モネロ)を採掘するウェブサービスが悪い意味でもよく取り沙汰されてますかいな。 <仮想通貨モネロはビットコイン(BTC) とは別モノ~

コインマイナー Coinhive

そんなサービスとして注目を集めるキッカケとなった代表的なものが Coinhive(コインハイブ) でしょう。

Coinhive(コインハイブ) はウェブサイトにマイニングスクリプトを設置することで、訪問してきた PC やスマホのリソースを使い仮想通貨 Monero を採掘(マイニング)する仕組みです。

イメージ 1
Coinhive 公式サイト

Coinhive – Monero JavaScript Mining
A Crypto Miner for your Website
Monetize Your Business With Your Users' CPU Power

稼いだ仮想通貨 Monero は、Coinhive の運営者とスクリプトの設置者で 7:3 で分配する形だそうで。


《1》 マイニング処理で端末のパフォーマンスダウン

サイト訪問者の立場からすると、仮想通貨をマイニングする処理がブラウザ内で半ば強制的に動くことになり、望まない PC やスマホの動作パフォーマンスダウンの懸念が挙がってます。

ブラウザのCPU使用率が上がり動作が落ちて重くなる
→ 動画を再生してるワケでもなくCPUファンが唸る
→ 電力をより多く消費するのでスマホならバッテリー残量に響く

話題の「Coinhive」とは? 想通貨の新たな可能性か、迷惑なマルウェアか - ITmedia
http://www.itmedia.co.jp/news/articles/1710/11/news084.html

閲覧者のPCを無断でマイニングに利用するサイトが多数 5億台に影響の可能性も - CNET
https://japan.cnet.com/article/35108804/


《2》 マイニングサービスの悪用が流行る

さらに、マイニングするスクリプトをウェブサイトに設置できる仕組みがサイバー犯罪者の目に留まることになりました。

 マイニングスクリプトを読み込むコンテンツを広告配信サーバーに流して、正当な一般サイトを閲覧してる裏でこっそりマイニングする手口が

 WordPress のような CMS の脆弱性を突くなど悪意のある第三者が正当な一般サイトに不正アクセスし、マイニングスクリプトを設置するサイト改ざん被害が日本も含め世界中で発生

 便利な機能を提供しつつも仮想通貨マイニング処理が裏で動く不正な Chrome 拡張機能が Chrome ウェブストアで発見 (規約違反で Google が削除済み)

広告表示にとって代わる新しい収益源 『マイニングスクリプトを設置してチョットしたお小遣い稼ぎ♪』 として注目されるサービスは、悪用される機会が増えてます。

マイニングスクリプトのウイルス検出名

…ってなワケで、セキュリティソフトは Coinhive など正当に提供されてる仮想通貨マイニングスクリプトもグレー的な脅威として検出する扱いになってきました。

「コインマイナー」「JSマイナー」

ウイルス検出名では 「JS:Miner」「JS/Miner」「JS/CoinMiner」「HKTL_COINMINE」「JS_COINHIVE」「Web Attack JSCoinminer Download」「Trojan:HTML/Brocoiner」「JS.Webcoinminer」 ってな感じ。

【Coinhiveスクリプト】
https://coinhive[.]com/lib/coinhive.min.js
https://coin-hive[.]com/lib/coinhive.min.js
https://coinhive[.]com/lib/worker.wasm

【ウイルス検出名】
AVG JS:Miner-A JS:Miner-C JS:Miner-E [Trj] BV:Miner-T [Trj]
avast! JS:Miner-A JS:Miner-C JS:Miner-E [Trj] BV:Miner-T [Trj]
Avira HTML/ExpKit.Gen2 PUA/CryptoMiner.Gen
BitDefender Application.BitCoinMiner.SX Application.CoinMiner.AY
ESET JS/CoinMiner.A JS/CoinMiner.C JS/CoinMiner.F
Kaspersky HEUR:Trojan.Script.Generic Trojan.JS.Miner.d Trojan.JS.Miner.m Trojan.JS.Minewasm.z
McAfee  JS/Miner.a JS/Miner.c JS/Miner.d WASM/Cryptonight
Microsoft Trojan:JS/Miner Trojan:HTML/Brocoiner!rfn
Sophos Coinhive JavaScript cryptocoin miner (PUA) JS CoinMiner
Symantec PUA.JScoinminer / Web Attack: JSCoinminer Download / Web Attack: JSCoinminer Download 6 / Web Attack: JSCoinminer Download 8 / Web Attack: JSCoinminer Download 14 / Web Attack: JSCoinminer Download 22 / Web Attack: PUA.JSCoinminer Download / Audit: JSCoinminer Download / JS.Webcoinminer / JS.Webcoinminer!gen1 / Wasm.Webcoinminer
Trend Micro HKTL_COINMINE JS_COINHIVE.GA JS_COINHIVE.GJ JS_COINHIVE.GN PUA_CoinMine.component COINMINER_COINHIVE.SM1-JS Coinminer_COINHIVE.SM2-JS HKTL_COINMINE.GL


【CryptoLootスクリプト】
http://cryptoloot[.]pro/lib/crlt.js
http://cryptoloot[.]pro/lib/worker.wasm

【ウイルス検出名】
ESET JS/CoinMiner.F WASM/CoinMiner.A
Kaspersky HEUR:Trojan.Script.Generic not-a-virus:RiskTool.WASM.Miner.d
McAfee WASM/Cryptonight
Trend Micro Coinminer_MALXMR.E-WASM

【coinlabスクリプト】
https://coinlab[.]biz/lib/coinlab.js

【ウイルス検出名】
avast! JS:Cryptonight [Trj]
AVG JS:Cryptonight [Trj]
Kaspersky HEUR:Trojan.Script.Generic
Symantec PUA.JScoinminer


マイニングするスクリプトの影響環境は?

PC やスマホで影響があります。

  • Windows XP/Vista/7/8/10
  • Mac OS X
  • Android OS
  • iOS (iPhone/iPad)
  • その他にネットサーフィンが可能なゲーム機やスマートテレビ

そこで動作するブラウザ上でマイニングスクリプトが動作することになります。

  • Internet Explorer、Microsoft Edge
  • Google Chrome
  • Mozilla Firefox
  • Apple Safari
    など

なお、日本の 携帯電話(いわゆるガラケー)はマイニングスクリプトの影響を受けません。


有償製品の導入を誘う詐欺サイトに注意!

ウイルス検出名でググると Yahoo! や Google の検索結果に詐欺サイトがやたらヒットしてます。 <うざい

【有償製品のダウンロードを誘う詐欺サイト】
cleanspyware.vir.us[.]com
delete-pcvirus.spyware-removal[.]org
deletemalware.uninstallmalwareinfection[.]com
deletepcthreats.trojanremovaltool[.]org
deletethreat.uninstallspyware[.]org
deletevirus.how2deletevirus[.]com
deletingmalware.spywareremovalguide[.]org
fixpcerror.fixregistryerror[.]org
getridof-malware.antispyware1[.]net
getridofspyware.trojanremovalprogram[.]com
japanese.malwares[.]news
jp.deletetrojaninfection[.]com
jp.pcmalwareremoval[.]com
jp.virusspywarecleaner[.]com
loaris[.]com/ja/
remove-pcvirus.virusremoval-tool[.]net
remove.uninstallbrowserinfection[.]com
removemalware.trojan-protection[.]com
removepcthreat.scanforvirus[.]org
removespyware-jp.malwareremovals[.]net
removespyware.virusremovalguide[.]org
removespyware.virusremovalprogram[.]net
spywareremoval.deletevirus[.]org
spywareremoval.malware-protection[.]net
trojan-killer[.]net/ja
uninstallpc-threat.uninstallvirusmalware[.]com
www[.]howtouninstallamalwaresjp[.]com
www[.]infectionrecovery-jp[.]com
www[.]pcinfectionsupport[.]com
www[.]removemalware-jp[.]com
www[.]removepcmalwarevirus[.]com
www[.]removetrojanspyware[.]com
www[.]removeuninstallpcmalware[.]com
www[.]uninstallallmalwares[.]com

駆除方法を紹介するかのよう装い有償セキュリテ製品 SpyHunterWiperSoftReimage Repair を騙してインストールさせるのが目的で、機械翻訳による変な日本語でデタラメな情報がダラダラ書かれてあり読む価値なしです。

検出したコインマイナーの対処方法

Coinhive などのマイニングスクリプトは、ファイルを手動でダウンロードして感染するパターンではありません。

たいていネットサーフィン中に偶然出くわして脅威を検出します。


マイニングスクリプトの駆除方法

特定サイトにアクセスすると検出する場合は、サイト改ざんや広告配信サーバーを介してマイニングスクリプトが読み込まれてる可能性が高いです。

こうなると、サーバー側の問題なのでユーザー側では対処しようがありません。

《コインマイナー駆除方法》
使用してるブラウザをいったん終了させてブラウザを再起動する
 ↓
ブラウザの設定画面を開いて 一時ファイル(キャッシュデータ)の削除 を行う



マイニングスクリプトのブロック方法 (Windows)

仮想通貨マイニングスクリプトの ”効率的” なブロック方法は?

1つの手段として、ブラウザの標準機能や拡張機能を活用してマイニングスクリプトをブロックするのが無難です。


Internet Explorer(IE11)



Google Chrome

→ 拡張機能 uBlock Origin あるいは Adblock Plus


Mozilla Firefox

→ 拡張機能 uBlock Origin あるいは Adblock Plus


この機能で利用するフィルターリストに EasyPrivacy を登録しましょう。

イメージ 4
IE11 追跡防止機能で Coinhive ブロック

イメージ 3
uBlock Origin で Coinhive ブロック

Coinhive など正規サービスで提供されてる多くのマイニングスクリプトは EasyPrivacy の登録でほぼブロックしてくれます。



関連ワードメモ

[コインマイナー とは] [コインマイナー 検出] [コインマイナー ウイルス] [コインマイナー iPhone] [コインハイブ とは] [coinhive とは] [coinhive ウイルス] [coinhive 削除] [coinhive.min] [coinhive ブロック] [coinhive.com] [coinhive ウイルスバスター] [coinhive iPhone] [coinhive スマホ] [クリプトジャッキング] [マイニング 仮想通貨] [マイニング ビットコイン] [マイニング PC] …

関連するブログ記事

タグ :
#WEBサイト・CGI