マルウェアは儲かるのか、と考えたことがありますか？大きな収益が上がらないのであれば、確かにそれほどのことはないでしょう。しかし、セキュリティ研究者にとって、マルウェアのキャンペーンがどれだけの利益をもたらすかを見極めることは困難です。特に、攻撃者はその活動を巧妙に偽装しているためです。

では、マルウェアはどのくらい儲かるのでしょうか？

マルウェアはどうやってお金を稼ぐのですか？

マルウェアの利益還元の問題は、よくあることです。もし、誰かがマルウェアの開発と完成に時間を費やしたなら、きっと食卓に食べ物を並べるのに十分なお金があるのでしょう？

その答えは、明確ではありません。

しかし、サイバーセキュリティ企業であるIntezer社のレポートでは、1つの暗号盗難キャンペーンがどれほどの利益を生み出すかを明らかにし、現在進行中のマルウェアキャンペーンの内部構造を詳細に分析しています。

盗聴で儲ける？

クリプトジャッキングとは、マシンを乗っ取り、被害者のハードウェアと電力を使って暗号通貨を採掘するクリプトマイニング・ソフトウェアをインストールすることです。

暗号を盗むマルウェアは、静かに動作します。ほとんどの場合、被害者はコンピュータのファンが頻繁に動き始め、システム上のどのような活動も完了するのに長い時間がかかるようになるまで、コンピュータの異常に気付きません。

Intezerのレポートでは、2021年1月にレポートが公開された時点で約1年間活動していた、Linuxマシン（いや、Linuxマシンはマルウェアと無縁ではない）を標的としたクリプトジャッキングキャンペーンを指摘しています。

攻撃者は暗号の盗用活動を徹底的に分析しており、採掘活動、ハッシュレート、日々の収益などを詳細に示す画面があることに驚かれる方もいるかもしれません。しかし、マルウェア、特に雇われマルウェアが蔓延している現代では、管理用ダッシュボードは全く珍しいものではありません。

アノニマス マイニング モネロ

このケースでは、暗号盗難キャンペーンは、まだ暗号通貨を蓄積している2つのウォレットを実行しており、マルウェアがまだアクティブであることを示しています。問題の暗号通貨はMonero（XMR）で、非常に安全でプライバシーに配慮された暗号通貨である。

あるウォレットには32xmrほど溜まっており、本稿執筆時点では約5,200ドルとなっています。2つ目のウォレットにはxmrが30個ほど入っていて、約4,800円です。このように、Intezerチームが入手した2枚のダッシュボードは、約12ヶ月の運用で、約1万ドルの利益を生み出しました。

もちろん、これには注意点があります。暗号窃盗の場合、利益の額は暗号通貨の価値と関係しています。暗号窃盗マルウェアは、（疑似匿名であるビットコインとは異なり）本当に追跡不可能であるため、プライバシーを重視するMoneroをよく使う。 2020年4月、1xMRは約40ドルで、現在の価値よりかなり低かった。

しかし、この観点からすると、クリプトジャッキングはほとんど純粋な利益である。攻撃者は被害者のハードウェアを使用し、電気代やハードウェアの損傷は発生しない。

ランサムウェアは儲かるのか？

IntezerCryptojackingの活動報告は、その一例です。世界中には無数のマルウェアが存在し、それらはすべて何らかの形で利益を上げるために設計されています。

しかし、クリプトジャックは、見出しを独占するものではありません。このキャラクターは、21世紀で最も悪名高いマルウェアの1つであるランサムウェアに属しています。

EMSISOFT Ransomware Cost Blogによると、ランサムウェアの恐喝要求の平均コストは84,000ドルだそうです。これは、身代金要求されたデータを解除するための解読キーや解読ツールを提供するための費用で、84,000ドルです。そうでなければ、その組織は永久にアクセスできなくなる可能性があります。

また、ブログ記事では、33%の企業がデマンドを支払っていることを指摘しています。サービスの停止やデータ消失の継続的なコストは、彼らにとっては高すぎる。

毎年、企業やその他の組織は、データのロックを解除するために犯罪者に何百万ドルも支払っています。Sophos State of Ransomware 2020」レポートによると、インド企業の66%が身代金を支払ったのに対し、米国企業では25%にとどまりました。

暗号通貨を盗むマルウェア

そこで、暗号を盗むマルウェアを取り上げたが、暗号通貨ウォレットを盗むマルウェアも存在する。ビットコインの価格が上昇すると、暗号通貨を盗むマルウェアの事件も増えました。

インターネットで「暗号を盗むマルウェア」をざっと検索すると、過去数年間に複数のマルウェアの警告が表示されます。マルウェアの種類によっては、暗号通貨を盗むことのみを目的としたもの（通常は、暗号通貨固有のウォレットを保護するために使用する秘密暗号鍵を盗むこと）もありますが、その他の種類のマルウェアについては、暗号通貨の盗難が追加的な機能となっています。

関連：Windows 10の暗号通貨ウォレットを狙うマルウェア「ElectroRAT」。

毎年、マルウェアによってどれだけの暗号通貨が盗まれるのか、正確な数字はありません。2019年半ばのCipherTraceのレポートでは、2019年1月から8月にかけて推定40億ドルの暗号通貨盗難が発生していますが、これにはSIMスワップ、URLハイジャック、クリプトジャックなどの攻撃も含まれています。

このことは、暗号通貨に関するもう一つの重要な問題につながる。盗難は必ずしも消費者を巻き込むものではありません。価値の高い暗号通貨取引所は犯罪者の格好のターゲットであり、暗号通貨が大量に失われる原因となっています。40億ドルという数字は、大手取引所であるBitfinexが8億5100万ドル相当の暗号通貨を「損失」した理由も説明しています。

マルウェアエコシステムに近づかない

マルウェアとは、すべてを包括する言葉です。もっとニュアンスの違うものを大まかに描いているのです。マルウェアの種類は多岐に渡り、その多くは異なる攻撃ベクトルを用いてシステムにアクセスします。

また、なぜ襲撃されたのかという疑問もある。後々のためにデータを盗んでいるのか**？恐喝のためにデータを盗むというのはどうでしょう？あるいは、ユーザーに無駄なアンチウイルスソフトを買わせ、その過程で銀行情報を盗んでいるのだろうか？

脅威の組み合わせは膨大です。以下は、一般的なマルウェアの脅威の種類の簡単なリストです。

• ランサムウェア：前述のように、攻撃者はコンピュータのコンテンツを暗号化し、その解除のために身代金を要求します。
• データ盗難：攻撃者が民間サービスから大量のデータを入手し、最も高い入札者にアクセス権を売却する（多くの場合、固定料金のみ）。あるいは、人が狙われてデータを盗まれ、恐喝される。
• ログイン情報を盗む：何らかの形でデータを盗むことの延長線上にあるが、攻撃者は**アカウントのログイン情報、例えばPayPal、銀行、Instagram、など。
• ペイ・パー・クリック：攻撃者がターゲットのコンピュータに感染し、インターネットトラフィックを操作して、大量の広告を含む犯人自身のウェブサイトを攻撃する。
• 偽造ソフトウェア／ポップアップ：偽造ソフトウェア、特にアンチウィルス・プログラムは、一般的な収入源となっています。マルウェアは、お客様がウイルスに感染していることを示すポップアップウィンドウを表示し、このウイルスを除去する唯一の方法は、推奨のアンチウイルスソフトウェアを購入することであることを示します。アンチウイルスプログラムが機能しないだけでなく、その過程で銀行情報を失う可能性もあります。

これらは、マルウェアが攻撃者に有利に働くように利用される一般的な5つの方法です。

マルウェアやその他の詐欺から身を守るためのさまざまなヒントをご紹介しているオンライン・セキュリティ・ガイドをご覧ください。