無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

タグ:WEBサイト・CGI

coinhiveブロック方法 仮想通貨マイニングウイルスIE11/Chrome/Firefox

イメージ 2

ブラウザに実装されてる JavaScript エンジンを利用して仮想通貨を採掘(マイニング)し収益を獲るシステムが注目を集めてます。

特に、仮想通貨の1つ Monero(読み方 モネロ)を採掘するウェブサービスが悪い意味でもよく取り沙汰されてますかいな。 <仮想通貨モネロはビットコイン(BTC) とは別モノ~

コインマイナー Coinhive

そんなサービスとして注目を集めるキッカケとなった代表的なものが Coinhive(コインハイブ) でしょう。

Coinhive(コインハイブ) はウェブサイトにマイニングスクリプトを設置することで、訪問してきた PC やスマホのリソースを使い仮想通貨 Monero を採掘(マイニング)する仕組みです。

イメージ 1
Coinhive 公式サイト

Coinhive – Monero JavaScript Mining
A Crypto Miner for your Website
Monetize Your Business With Your Users' CPU Power

稼いだ仮想通貨 Monero は、Coinhive の運営者とスクリプトの設置者で 7:3 で分配する形だそうで。


《1》 マイニング処理で端末のパフォーマンスダウン

サイト訪問者の立場からすると、仮想通貨をマイニングする処理がブラウザ内で半ば強制的に動くことになり、望まない PC やスマホの動作パフォーマンスダウンの懸念が挙がってます。

ブラウザのCPU使用率が上がり動作が落ちて重くなる
→ 動画を再生してるワケでもなくCPUファンが唸る
→ 電力をより多く消費するのでスマホならバッテリー残量に響く

話題の「Coinhive」とは? 想通貨の新たな可能性か、迷惑なマルウェアか - ITmedia
http://www.itmedia.co.jp/news/articles/1710/11/news084.html

閲覧者のPCを無断でマイニングに利用するサイトが多数 5億台に影響の可能性も - CNET
https://japan.cnet.com/article/35108804/


《2》 マイニングサービスの悪用が流行る

さらに、マイニングするスクリプトをウェブサイトに設置できる仕組みがサイバー犯罪者の目に留まることになりました。

 マイニングスクリプトを読み込むコンテンツを広告配信サーバーに流して、正当な一般サイトを閲覧してる裏でこっそりマイニングする手口が

 WordPress のような CMS の脆弱性を突くなど悪意のある第三者が正当な一般サイトに不正アクセスし、マイニングスクリプトを設置するサイト改ざん被害が日本も含め世界中で発生

 便利な機能を提供しつつも仮想通貨マイニング処理が裏で動く不正な Chrome 拡張機能が Chrome ウェブストアで発見 (規約違反で Google が削除済み)

広告表示にとって代わる新しい収益源 『マイニングスクリプトを設置してチョットしたお小遣い稼ぎ♪』 として注目されるサービスは、悪用される機会が増えてます。

マイニングスクリプトのウイルス検出名

…ってなワケで、セキュリティソフトは Coinhive など正当に提供されてる仮想通貨マイニングスクリプトもグレー的な脅威として検出する扱いになってきました。

「コインマイナー」「JSマイナー」

ウイルス検出名では 「JS:Miner」「JS/Miner」「JS/CoinMiner」「HKTL_COINMINE」「JS_COINHIVE」「Web Attack JSCoinminer Download」「Trojan:HTML/Brocoiner」「JS.Webcoinminer」 ってな感じ。

【Coinhiveスクリプト】
https://coinhive[.]com/lib/coinhive.min.js
https://coin-hive[.]com/lib/coinhive.min.js
https://coinhive[.]com/lib/worker.wasm


【ウイルス検出名】
AVG
JS:Miner-A JS:Miner-C JS:Miner-E [Trj] BV:Miner-T [Trj]
avast! JS:Miner-A JS:Miner-C JS:Miner-E [Trj] BV:Miner-T [Trj]
Avira HTML/ExpKit.Gen2 PUA/CryptoMiner.Gen
BitDefender Application.BitCoinMiner.SX Application.CoinMiner.AY
ESET JS/CoinMiner.A JS/CoinMiner.C JS/CoinMiner.F
Kaspersky HEUR:Trojan.Script.Generic Trojan.JS.Miner.d Trojan.JS.Miner.m Trojan.JS.Minewasm.z
McAfee  JS/Miner.a JS/Miner.c JS/Miner.d WASM/Cryptonight
Microsoft Trojan:JS/Miner Trojan:HTML/Brocoiner!rfn
Sophos Coinhive JavaScript cryptocoin miner (PUA) JS CoinMiner
Symantec PUA.JScoinminer / Web Attack: JSCoinminer Download / Web Attack: JSCoinminer Download 6 / Web Attack: JSCoinminer Download 8 / Web Attack: JSCoinminer Download 14 / Web Attack: JSCoinminer Download 22 / Web Attack: PUA.JSCoinminer Download / Audit: JSCoinminer Download / JS.Webcoinminer / JS.Webcoinminer!gen1 / Wasm.Webcoinminer
Trend Micro HKTL_COINMINE JS_COINHIVE.GA JS_COINHIVE.GJ JS_COINHIVE.GN PUA_CoinMine.component COINMINER_COINHIVE.SM1-JS Coinminer_COINHIVE.SM2-JS HKTL_COINMINE.GL


【CryptoLootスクリプト】
http://cryptoloot[.]pro/lib/crlt.js
http://cryptoloot[.]pro/lib/worker.wasm

【ウイルス検出名】
ESET
JS/CoinMiner.F WASM/CoinMiner.A
Kaspersky HEUR:Trojan.Script.Generic not-a-virus:RiskTool.WASM.Miner.d
McAfee WASM/Cryptonight
Trend Micro Coinminer_MALXMR.E-WASM

【coinlabスクリプト】
https://coinlab[.]biz/lib/coinlab.js

【ウイルス検出名】
avast! JS:Cryptonight [Trj]
AVG JS:Cryptonight [Trj]
Kaspersky HEUR:Trojan.Script.Generic
Symantec PUA.JScoinminer


マイニングするスクリプトの影響環境は?

PC やスマホで影響があります。

  • Windows XP/Vista/7/8/10
  • Mac OS X
  • Android OS
  • iOS (iPhone/iPad)
  • その他にネットサーフィンが可能なゲーム機やスマートテレビ

そこで動作するブラウザ上でマイニングスクリプトが動作することになります。

  • Internet Explorer、Microsoft Edge
  • Google Chrome
  • Mozilla Firefox
  • Apple Safari
    など

なお、日本の 携帯電話(いわゆるガラケー)はマイニングスクリプトの影響を受けません。


有償製品の導入を誘う詐欺サイトに注意!

ウイルス検出名でググると Yahoo! や Google の検索結果に詐欺サイトがやたらヒットしてます。 <うざい

【有償製品のダウンロードを誘う詐欺サイト】
cleanspyware.vir.us[.]com
delete-pcvirus.spyware-removal[.]org
deletemalware.uninstallmalwareinfection[.]com
deletepcthreats.trojanremovaltool[.]org
deletethreat.uninstallspyware[.]org
deletevirus.how2deletevirus[.]com
deletingmalware.spywareremovalguide[.]org
fixpcerror.fixregistryerror[.]org
getridof-malware.antispyware1[.]net
getridofspyware.trojanremovalprogram[.]com
japanese.malwares[.]news
jp.deletetrojaninfection[.]com
jp.pcmalwareremoval[.]com
jp.virusspywarecleaner[.]com
loaris[.]com/ja/
remove-pcvirus.virusremoval-tool[.]net
remove.uninstallbrowserinfection[.]com
removemalware.trojan-protection[.]com
removepcthreat.scanforvirus[.]org
removespyware-jp.malwareremovals[.]net
removespyware.virusremovalguide[.]org
removespyware.virusremovalprogram[.]net
spywareremoval.deletevirus[.]org
spywareremoval.malware-protection[.]net
trojan-killer[.]net/ja
uninstallpc-threat.uninstallvirusmalware[.]com
www[.]howtouninstallamalwaresjp[.]com
www[.]infectionrecovery-jp[.]com
www[.]pcinfectionsupport[.]com
www[.]removemalware-jp[.]com
www[.]removepcmalwarevirus[.]com
www[.]removetrojanspyware[.]com
www[.]removeuninstallpcmalware[.]com
www[.]uninstallallmalwares[.]com

駆除方法を紹介するかのよう装い有償セキュリテ製品 SpyHunterWiperSoftReimage Repair を騙してインストールさせるのが目的で、機械翻訳による変な日本語でデタラメな情報がダラダラ書かれてあり読む価値なしです。

検出したコインマイナーの対処方法

Coinhive などのマイニングスクリプトは、ファイルを手動でダウンロードして感染するパターンではありません。

たいていネットサーフィン中に偶然出くわして脅威を検出します。


マイニングスクリプトの駆除方法

特定サイトにアクセスすると検出する場合は、サイト改ざんや広告配信サーバーを介してマイニングスクリプトが読み込まれてる可能性が高いです。

こうなると、サーバー側の問題なのでユーザー側では対処しようがありません。

《コインマイナー駆除方法》
使用してるブラウザをいったん終了させてブラウザを再起動する
 ↓
ブラウザの設定画面を開いて 一時ファイル(キャッシュデータ)の削除 を行う



マイニングスクリプトのブロック方法 (Windows)

仮想通貨マイニングスクリプトの ”効率的” なブロック方法は?

1つの手段として、ブラウザの標準機能や拡張機能を活用してマイニングスクリプトをブロックするのが無難です。


Internet Explorer(IE11)



Google Chrome

→ 拡張機能 uBlock Origin あるいは Adblock Plus


Mozilla Firefox

→ 拡張機能 uBlock Origin あるいは Adblock Plus


この機能で利用するフィルターリストに EasyPrivacy を登録しましょう。

イメージ 4
IE11 追跡防止機能で Coinhive ブロック

イメージ 3
uBlock Origin で Coinhive ブロック

Coinhive など正規サービスで提供されてる多くのマイニングスクリプトは EasyPrivacy の登録でほぼブロックしてくれます。



関連ワードメモ

[コインマイナー とは] [コインマイナー 検出] [コインマイナー ウイルス] [コインマイナー iPhone] [コインハイブ とは] [coinhive とは] [coinhive ウイルス] [coinhive 削除] [coinhive.min] [coinhive ブロック] [coinhive.com] [coinhive ウイルスバスター] [coinhive iPhone] [coinhive スマホ] [クリプトジャッキング] [マイニング 仮想通貨] [マイニング ビットコイン] [マイニング PC] …

関連するブログ記事

このエントリーをはてなブックマークに追加

Googleサーチコンソール「セキュリティの問題 有害なコンテンツ 悪意のあるコンテンツ」!?
 
Googleのウェブマスターツール Google Search Console より「セキュリティの問題-有害コンテンツ」として警告通知がっ。
 
イメージ 1
 
起こりうる侵害事例として
 
● Windowsパソコンがウイルス感染してFTPソフトからアカウント情報が流出した (たとえば、FileZilla はパスワード流出リスクが存在するし、FFFTPはマスターパスワードを利用しないと流出リスクがある)
 
● 悪意のある攻撃者が WordPress とか Joomla! など CMS がらみでサーバーに不正アクセスしてマルウェア置き場として悪用する
 
のではなく、だいぶ前に自分自身で作成し公開してた 無害Windows用実行ファイルを不正なプログラムとして検出してるのです。
セキュリティの問題
有害なコンテンツ
貴サイトのページの一部で有害なコンテンツが検出されました。できるだけ早くこのコンテンツを削除されることをおすすめします。コンテンツが削除されるまでの間、Google Chrome をはじめとする各ブラウザでは、サイトの訪問者や、サイトから特定のファイルをダウンロードしようとしたユーザーに対して警告が表示されるようになっています。詳細
悪意のあるコンテンツ
このページには有害なコンテンツが含まれています。残念ながら、このページ内の悪意のあるコードを隔離できませんでした。
やむを得ないのでファイルのダウンロードリンクを外し、ファイル名を別の名前に変更して、単にダウンロードリンクのURLアドレスを紹介する形に切り替え~。
 
んで、Googleサーチコンソールから再審査リクエストを出し解消させました。
このエントリーをはてなブックマークに追加

隠しリンクstructurefunding.com改ざん被害 日本の一般サイト多数

イメージ 4
Image いらすとや

ビジネスローン の宣伝と思われる英語表記の海外サイト

structurefunding[.]com

に向けたリンクを貼る改ざん被害を複数確認してます。<怪しいサイトではなく個人や企業が管理してる日本の一般サイトたち

イメージ 1

イメージ 2

イメージ 3

【挿入されるHTMLコード】
<!--******--><div style="position:absolute;clip:rect(110px,auto,auto,220px);">
<a href="http://www.structurefunding[.]com/small-business-loans/" target="_blank">Small Business Loans</a>
 <a href="http://www.structurefunding[.]com/lines-of-credit/" target="_blank">Big Lines of Credit</a>
 <a href="http://www.structurefunding[.]com/equipment-financing/" target="_blank">Equipment Financing</a>
 <a href="http://www.structurefunding[.]com/working-capital/" target="_blank">Working Capital</a>
 <a href="http://www.structurefunding[.]com/long-term-loans/" target="_blank">Long Term Loans</a>
 <a href="http://www.structurefunding[.]com/sba-loans/" target="_blank">SBA Loans</a>
 <a href="http://www.structurefunding[.]com/short-term-loans/" target="_blank">Short Term Loads</a>
 <a href="http://www.structurefunding[.]com/best-business-loans/" target="_blank">best business loans</a>
 <a href="http://www.structurefunding[.]com/merchant-cash-advances/" target="_blank">Merchant Cash Advances</a><a href="http://www.structurefunding[.]com/business-loans/" target="_blank">business loans</a>
 </div><!--/******-->

アンカータグ <a> の表示は、CSSスタイルシートを使ってブラウザの表面的には表示されなくなるよう 隠しリンク の状態になってます。

検索エンジンで上位表示狙い

Google など検索エンジンの検索結果でより上位に表示させる(SEO)ため、複数のサイトから「loans」の単語でリンクされてる状態に仕立てた不正な手口です。

イメージ 5
Google検索 品質に関するガイドライン

Google の検索結果でのランキングを操作するためにコンテンツに隠しテキストや隠しリンクを含めることは、偽装行為と見なされることがあり、Google のウェブマスター向けガイドライン(品質に関するガイドライン)への違反にあたります。
・CSS を使用してテキストを画面の外に配置する
https://support.google.com/webmasters/answer/66353?hl=ja

ただし、悪意のある第三者が意図的に structurefunding[.]com を貶めるために仕掛けた可能性もあります。

怪しいサイトにアクセスしない!?

この改ざん被害を喰らってる一般サイトにアクセスしても、ユーザーさんには何ら実害はありません。

【理想と現実は厳しぃ】
危険な怪しいサイトにアクセスしない!

一般サイトがハッキングされてる

とは言え、安全なはずの一般サイトが悪意ある第三者に乗っ取られてることは間違いなく危なっかしい! <ウイルス配信サイトに変貌してもおかしくない

このエントリーをはてなブックマークに追加

↑このページのトップヘ