Check Point社が2019年3月のマルウェアランキングを発表しました。

「Cryptoloot」Coinhiveサービス終了と同時にトップにランクイン

検出数トップを独占してきたCoinhiveのサービスが終了してから最初のランキングが発表されました。その後順位にはどのような変化があったのでしょうか。
3月のマルウェアランキングでは、Coinhiveは6位にランクインし、Coinhiveの競合であるCryptolootがトップに取って代わりました。Cryptolootは、当セキュリティニュースでクリプトマイナーを取り上げ始めた頃から、度々ランキング上位に登場してきました。

12月の最多検出マルウェアはクリプトマイナー

CryptolootもCoinhiveと同じく、ウェブサイト上にJavascriptのコードを埋め込み、サイト訪問者のリソースを消費してMoneroを発掘させるクリプトマイナーです。その収益構造もまた、「マイニングによって生じた利益をサイト管理者とサービス運営者の間で分配する」という、Coinhiveと同じ仕組みを取っています。
2つの大きな違いは「手数料率」です。Coinhiveの手数料率が30％であったのに対して、これを12％に抑え、顧客の乗り換えを図っていたのがCryptolootでした。

仮想通貨価値下落後、クリプトマイナーの動向は？

クリプトジャッキングの標的として、これまではウェブサイトに狙いが定められていました。ところが、仮想通貨の価値は2018年に高値を記録して以来下がり続けており、現在その利益は限定的なものとなっています。そのため、今後は攻撃者がエンタープライズクラウド環境へ狙いを移すことが予想されます。

高いスケーラビリティを持つクラウド環境下では、大量にマイニングを行うことが可能です。
Check Point社の調査チームは、次のような事例を確認しています。不正なクリプトマイナーによってコンピュータのリソースが使用されたとして、ある企業がクラウドベンダーに対して数十万ドルの支払いを要求されたというものです。

今後は、クラウド環境のマルウェア対策にも注意が必要です。

3月のマルウェアトップ10

順位	前月比	マルウェア名	解説
1	↑	Cryptoloot	クリプトマイナー。CPUやGPUを利用する。Coinhiveより少ない手数料を打ち出し、Coinhiveと競合している。
2	↑	Emotet	トロイの木馬。銀行口座の認証情報を窃取する。
3	↑	XMRig	クリプトマイナー。オープンソースのソフトウェアで、CPUを利用してマイニングを行う。
4	↑	Dorkbot	IRC向けワーム。情報窃取の他、マルウェアの追加ダウンロードなどを行う。
5	→	Jsecoin	クリプトマイナー。消費電力の少なさやユーザーの明示的な同意を求める信頼性などを強みとして打ち出している。
6	↓	Coinhive	クリプトマイナー。JavaScriptで作られており、ウェブサイトに埋め込んで動作させる。
7	↑	Ramnit	トロイの木馬。銀行口座の認証情報やFTPパスワードなどの情報を窃取する。
8	↓	Nivdort	多目的ボット。主にスパムメールから感染する。パスワード窃取やマルウェアの追加ダウンロードなどを行う。
9	↑	Lokibot	トロイの木馬。仮想通貨のウォレット情報や、FTPパスワードなどを窃取する。
10	↑	Mirai	IoTデバイスをターゲットにしたマルウェア。ルータや防犯カメラ等のIoTデバイスに感染してボットネットを形成し、DDoS攻撃を仕掛ける。

参考（外部サイト）

A New Player Joins Coinhive on the Browser Cryptojacking Scene
March 2019’s Most Wanted Malware: Cryptomining Still Dominates Despite Coinhive Closure