Coinhiveについて

Coinhiveとは、ブラウザを通すことでサイトの運営者が閲覧者に仮想通貨（BitCoinではなくMonero）を採掘させ、その収益を受け取るサービスです。

今回、ウイルスとして検知されたファイルもこのCoinhiveによるものです。
利用者の許可を得ないでPCのリソースを利用することから、マイニングマルウェアとかCPUハイジャッカーとか呼ばれたりしているようです。

下記はCoinhiveサービスの簡単な流れです。

使い方は簡単で、Coinhiveのページから登録、特定のスクリプトをサイト運営者ページのheadタグに埋め込むのみです。
そして、スクリプトを埋め込んだサイト運営者のページを開くと、ページ閲覧者のPCを利用してCPUが自動で計算を始め、計算時間に応じたMoneroが採掘されるという流れです。

採掘されたMoneroの3割はCoinhive側に送信され、残り7割はサイト運営者に支払われるサービスです。

サイト閲覧者は、勝手に発掘（Mining）に利用されていて何が起きているのか気付かないケースがほとんどというのがミソですね。

Coinhiveについては、こちらのブログで詳しく記載されています。
（私も参考にしました）
nmi.jp

今回の検出経緯について

検出時にアクセスしたブログ記事は「1週間で仮想通貨を発掘して○○円、お金を稼いでみた」的な内容が記載されていました。
もちろん、Coinhivesのサービス利用を閲覧者に許可するようなコメント等は無し。

閲覧したブログのページソースに下記の「.js」ファイルが埋め込まれていたことを確認しました。

https:／／coin-hive.com／lib／coinhive.min.js
（※　一部大文字にしています）

Virus Totalでみると該当ファイル分析結果は30/60でMalware判定でした。
Antivirus scan for 9b3e42330b1c922b7d8b7becff32bb6b110ca8d81b6a3c4beeab96e9dc9e2f6e at 2017-11-01 02:01:16 UTC - VirusTotal

私の会社での利用端末は、TrendMicroのウイルスバスターを利用しており、このJavaScriptが「HKTL_COINMINE」として表示で検出された結果です。

勤務先ではアンチウイルスソフトのアラートを監視している部署があり、検出アラートから数分後に監視部署から電話が掛かってきてPCを回収されて終了。
（一連の対応が初のためびっくりしました）

感想

突然アンチウイルスソフトが働くと驚きます。

同時にこのCoinhiveというサービスの仕組みは面白いですが、サイト閲覧者に無断でリソースを使うというのは確かに賛否両論だなと。

そのうち、このファイルハッシュ値と違うJavaScriptがそのうち出て（既に出ていそう）、アンチウイルスソフトでのウイルス検知を逃れる流れが続きそうに思えます。

補足で。Virus Totalでのファイル自体の検出率は30/60ですが、こちらの通りURLでの検出率は2/64です。

Scan report for https://coin-hive.com/lib/coinhive.min.js at 2017-11-02 15:48:02 UTC - VirusTotal

「coin-hive.com」へのアクセスはほとんどのアンチウイルスソフトで許可されているということになっています。

TrendMicro等によると、Andoroidに対応したマイニングマルウェアも観測されているようで厄介だなぁと。

今後スマホやPCでネットサーフィンをしていて勝手にCPU使われていたら気持ち悪いですよね。。
これらのサービスについて今後規制が入るのかどうなるのか。。

参考にした最近の仮想通貨発掘マルウェア関連の記事とか

• 仮想通貨発掘マルウェアの影響 | トレンドマイクロ セキュリティブログ
• 暗号通貨マイニングマルウェア「Adylkuzz」がEternalBlue/DoublePulsarを介して拡散中 | Proofpoint Japan
• Coin Hive is not a malware - Website Blocking - Malwarebytes Forums
• Coin-Hive flag as malicious - Malware Finding and Cleaning - ESET Security Forum