困ったー[安全編]

セキュリティで困ったことを調べたブログ

クリプトジャックとは?対策は?

スポンサーリンク

ビットコインなどの暗号通貨は、認証作業を暗号解読によって行います。最初に暗号解読に成功した人にビットコインが褒賞として送られるため、これを専門に行う業者も多数存在します。

最近では、この暗号解読の計算させるプログラムをネットのページに置く「クリプトジャック」などの行為があります。

対策はどすればよいのでしょう。

クリプトジャックとは?

HODL!

ビットコインなどの仮想通貨では、暗号解読による認証作業を不特定多数の大勢の人に実行させています。

最初に暗号を解くと、ビットコインなどが報酬として与えられます。

 

この仕組みをホームページに埋め込むというテクニックを使う人が出てきました。

ある人が特定のサイトへアクセスします。

サイト内にあるプログラムは暗号解読の作業を行うことで報酬が得られるというものです。

 

閲覧者が了承していればまだしも、勝手にこのプログラムをこっそり使っている...というようなことが問題です。

 

プログラム自体でパソコンやスマホ等が損害を受けることはないとは思いますが、その分の電気代や通信代はユーザが負担してしまっていることになります。

 

実際にスクリプトが実行されると、タスクマネージャーを確認するとCPU使用率がフルな状況が続きます。

f:id:apicode:20180123182837j:plain

 

 

対策は?

オペラを使う

現在ブラウザのレベルでこの仕組みに対応しているのがオペラです。

オペラでは、このようなマイニングのスクリプトがあるとブロックする機能を搭載。

スマホなどのモバイル版でも対応するとのことです。

 

実際にオペラでコインハイブのページへ行くとこんな感じ。

f:id:apicode:20180123154558j:plain

 

ただしこれは、オペラがブロックしているのか、コインハイブのほうがアクセスをさせないようにしているかはわかりません。

 

(更新 2018/5/24)

オペラの新しいスマホアプリ「オペラタッチ」には、このような暗号通貨の勝手なマイニングをブロックする機能が搭載されました。

 

「設定」をひらくと「暗号通貨マイニング保護」という項目があります。

これをオンにすることでブロックが有効となります。

f:id:apicode:20180523201508j:plain

 

クロームエクステンションを使う

クロームではブロック機能はありません。

そこでエクステンションを使うことで対応します。

 

執筆時で40万ユーザが利用しているのがNO COINです。

サイズは60KB

chrome.google.com

 

minerBlockもブロック用エクステンションです。

ユーザ数8万ですが、サイズは200KB以上とちょっと大きめです。

こちらは、ブラックリストに登録されたサイトをチェックするだけでなく、スクリプトの挙動から怪しいかどうかを判定します。

(オペラ版もあり。ファイアフォックス対応もリリース予定)

chrome.google.com

 

この2つは、いずれもオープンソースでgithubなどでソースが公開されています。

そのためエクステンション自体の安全度はあるものと思われます。

 

このブログは、ネットや書籍上の情報、個人の体験や感想を中心にまとめたものです。 正確性を期してはいますが、間違い・誤訳等あるかもしれません。 当サイトの情報によって生じたいかなる損失について一切の責任を負いませんので、 あらかじめご了承ください。