ac.jpドメイン上のWebサイトが改ざんされてCoinhiveを埋め込まれてしまった話

less than 1 minute read

ac.jpドメイン上のWebサイトでCoinhiveが動いているのを見かけました。

Imgur

CoinhiveはJavaScript実装の仮想通貨マイナーです。 ユーザー側(ブラウザ側)のCPUリソースを消費してマイニングを行います。

Coinhive自体は合法的な用途で使うこともできますが、無断でCPUリソースを消費することから、多くのウイルス対策ソフトはこれをPUP(Potentially Unwanted Program / 好ましくないと思われるプログラム)として検出します。

Imgur

さて、Webサイト上でCoinhiveを見つけた場合、そのWebサイトの管理者が意図して埋め込んでいるのか、攻撃者に改ざんされて埋め込まれてしまったのか、どちらか判断するためにはどうすればいいでしょうか。

判断する方法の1つはSite Keyを確認することです。

Site KeyはCoinhiveユーザーがWebサイトごとの統計を取得するために用いる識別子です。Webサイトごとに異なるSite Keyを設定することで、Webサイトごとの収益を確認することができます。

Imgur

これが複数の無関係なWebサイト上にあった場合、攻撃者に改ざんされCoinhiveを埋め込まれてしまった可能性が高いと言えます。

今回の場合、Site Key = OZmgXBQnT984WuYsBHYhmosFksFnOXytが複数のWebサイトで使われていることは確認できませんでした。

しかし、学術系の機関が使用するac.jpドメイン上のWebサイトでCoinhiveを使用することは考えにくいため、改ざんされている可能性が高いと考えました。

このWebサイトの管理者に連絡をしたところ、懸念していた通りWebサイトが改ざんされていたとのことでした。現在は修正されています。

Lessons Learned

このWebサイトはWordPressで構築されていたため、WordPress本体またはプラグインの脆弱性を悪用されて改ざんされてしまった可能性が高いと考えられます。

WordPressを使用する場合、常にWordPress本体とプラグインを最新版にすることが必要です。気をつけましょう。

また、WordPressに代表されるCMSを使うのではなく、このブログのように静的なサイトジェネレーター(Jekyll, Hugo, Hexoなど)を使用することも良いやり方かと思われます。

Categories:

Updated: