目 次
「RedTail」とは、仮想通貨 Moneroを不正にマイニングするマルウェアであり、RedTailが企業や個人にもたらす深刻な被害が、世間を騒がせています。最近では大手フードデリバリーサービスがRedTailに感染し、大規模なシステム障害を招いたことで話題となりました。
▼この記事を要約すると
- RedTailは、仮想通貨 Moneroを不正にマイニングするために設計されたマルウェア
- 2024年10月に大手フードデリバリー企業で、RedTail感染による大規模なシステム障害が発生し、サービスが3日以上停止
- 主な感染経路は、悪意あるメールの添付ファイルやリンク、Webサイトの閲覧、ソフトウェアのダウンロード、サーバーの脆弱性、ネットワーク設定の不備
- RedTailに感染すると、デバイスやサーバーのパフォーマンス低下、ネットワーク遅延、ハードウェアの過熱や故障、消費電力の増加、持続的なマルウェア感染のリスクなどがある
- 有効な対策として、エンドポイントセキュリティの強化、OSやサーバー、アプリケーションの定期アップデート、ネットワーク監視、従業員へのセキュリティ教育などが重要
本記事では、RedTailの危険性や感染経路、具体的な被害事例を紹介し、効果的なセキュリティ対策について解説します。
RedTailとは?
「RedTail」とは、ターゲットのデバイスを秘密裏に乗っ取り「Monero (モネロ)」という仮想通貨(暗号資産)を不正にマイニングする目的で設計された、マルウェアの一種です。
RedTailに感染することで、デバイスのパフォーマンス低下やネットワーク遅延、システム障害といった深刻な被害が発生する可能性があります。
RedTailの目的である「マイニング(採掘)」とは、ユーザーが仮想通貨に関する新たな取引記録を「ブロックチェーン」と呼ばれる取引台帳に記帳・承認する対価として、報酬をもらう一連の行為を指します。
マイニングを行う人やシステムを「マイナー」と呼び、マイナーがこの「帳簿係」のような役割を果たすことで、利用者は安心して仮想通貨の取引が行えます。
しかし、複雑な計算を必要とするマイニングには、計算処理能力の高いコンピューターが必要であり、また大量の電力消費をするため、得られる報酬よりコストの方が高額というデメリットがあります。
そのため攻撃者は仮想通貨を低コストで得る目的から、他者のコンピューターやネットワーク資源をマイニングに不正利用しようと試みます。被害者のデバイスを秘密裏に操作し、仮想通貨をマイニングさせる行為を「クリプトジャッキング」と呼び、またこの時使用されるマルウェアを「クリプトマイナー(もしくは暗号資産マイニングマルウェア)」とい言います。
本記事の主題「RedTail」も、このクリプトマイナーの一種です。
RedTailをはじめとするクリプトマイナーにPCやシステムが感染した場合、CPUやメモリなどのリソースが勝手に消費され「デバイスの処理速度低下」「熱暴走」「デバイス機能の停止」などの症状があらわれます。
ただしマイニングはバックグラウンドで秘密裏に行われるため、初期段階では感染に気付くことは困難です。
国内で「RedTail」感染が原因とされる、大規模なシステム障害が発生
2024年10月、フードデリバリーサービスを提供する大手企業にて、暗号資産マイニングマルウェア「RedTail(レッドテイル)」の感染を要因とする、大規模なシステム障害が発生しました。
企業の報告によれば、10月25日にサーバーの高負荷を要因にサービスを停止し、当該サーバーを切り離してサービスを再開。しかし翌日、別のサーバーでも高負荷による同様の障害が発生し、再びサービスの停止に陥りました。
最終的に「個人情報の流出」などの被害はありませんでしたが、3日以上に渡りサービス停止に追い込まれる等、営業活動に大きな支障をきたす事態となり、その様子は連日各種メディアで報道されました。
RedTailの感染経路
RedTailの主な感染経路は、以下の通りです。
- 悪意あるメールの添付ファイルやリンク
- Webサイトの閲覧
- ソフトウェアのダウンロード
- サーバーの脆弱性
- ネットワーク設定の不備
よくある手口として、メールの添付ファイルやリンクに RedTail を仕込み、クリックさせることで感染させる「フィッシングメール」を用いたものがあります。
正規のWebサイトに「RedTail に感染する不正なスクリプト」を埋め込み、ユーザーがサイトを閲覧することで、自動的にマイニングが実行されるケースなどもあります。また正規のソフトウェアやアプリケーションを装い、ユーザーに自らダウンロードさせることで、感染を促す場合も見られます。
RedTailに感染するとどういった被害がある?
RedTailに感染することで、システムパフォーマンスやセキュリティに関する被害が生じる可能性があります。
- デバイスやサーバーのパフォーマンス低下
- ネットワーク遅延
- ハードウェアの過熱や故障
- 消費電力の増加
- 持続的なマルウェア感染のリスク
RedTailでは、デバイスのCPUやメモリを大量に占有しマイニングを行うため、通常業務やソフトウェアの動作が極端に遅くなったり、頻繁にフリーズしたりします。同じくマイニング時は大量の通信が発生するため、ネットワークの遅延が起こる場合があります。
またマイニングで行う複雑で膨大な計算処理は、多くの電力消費を伴うため、多額の電気コストが発生する可能性もあるでしょう。RedTeil に感染している=セキュリティに脆弱性がある証拠ですので、さらなるマルウェア展開や不正アクセスを防ぐため、被害者は速やかにセキュリティ対策を実行する必要があります。
RedTailによる攻撃の流れ
RedTailがデバイスに感染し、マイニングを実行するまでの流れについてご紹介します。
1.デバイス侵入
RedTailはメールの添付ファイル、Webサイトの閲覧、脆弱性を利用した攻撃など、さまざまな手口でターゲットのデバイスに侵入。感染経路は多様であり、ターゲットが気づかないうちに感染している場合が大半です。
2.システムへのXMRigの導入
侵入後、RedTailは「XMRig」というオープンソースのマイニングツールを展開。XMRigは、Moneroという仮想通貨のマイニングで使用されるソフトウェアであり、高い計算処理能力で、効率的に仮想通貨を生成します。
3.マイニングの実施
RedTailは、XMRigをバックグラウンドで起動し、ターゲットデバイスのCPUやGPUリソースを使用してマイニングを実施。仮想通貨を生成して、自らの利益を得ます。
マルウェアの永続化
システム再起動後もマルウェアがアクティブに活動するよう、ユーザーの crontab 内に cron ジョブを設定。ユーザーが介入せずともマルウェアが悪意ある活動を継続し、検出を回避するための対策を講じます。
※cron…指定した時刻に指定したコマンドを実行するための仕組み
RedTailへ有効なセキュリティ対策
RedTail 感染は、個人・企業ともに対策すべきセキュリティ脅威ですが、特に「高い計算リソース」を必要とする特性から、より大規模な計算能力システムをもつ「企業・組織」が狙われやすい傾向にあります。
RedTailを含むクリプトマイナー感染を防ぐため、有効なセキュリティ対策や感染時の被害を最小限に抑える対策を紹介します。
エンドポイントセキュリティの対策
RedTailやその他のマイニングマルウェア感染を防ぐには、エンドポイントセキュリティに有効な「アンチウイルス」や「EDR」などのツール導入が不可欠です。
高精度なアンチウイルスを導入することで、未知や亜種のマルウェアを検知・ブロックすることも可能です。また、エンドポイント上のマルウェアの挙動を監視する「EDR」の併用で、デバイス侵入後のマルウェア検出・隔離も行えます。
OSやサーバー、アプリケーションの定期アップデート
「RedTail」は脆弱性を悪用して侵入を試みます。OSやサーバー、アプリケーションを定期的にアップデートし、セキュリティパッチ※1を適用することで、脆弱性を放置しないことが重要です。
※1 セキュリティパッチ…OSやソフトウェアなどの脆弱性を修正するために、ベンダーが利用者に配布する修正プログラム
ネットワーク監視
ネットワーク機器の稼働状況を監視することも有効な対策です。ネットワーク監視の対象は、ネットワーク機器やストレージ、ネットワークトラフィック、サーバーなどです。
IDSやIPS、NDRなどのセキュリティソリューションが該当します。
RedTail に感染し、CPUやメモリの使用率が不自然に上がった際にも、ネットワーク監視を定常的に実施することで早期に異常を発見することが可能です。
従業員へのセキュリティ教育
RedTailをはじめとしたクリプトマイナーは
- メールの添付ファイル開封
- Webサイトの閲覧
- ソフトウェアのダウンロード
などによってデバイスに侵入します。こうした事態を防ぐためにも、企業では「メールの添付ファイル・URLを安易にクリックしない」「SSL化※2(https化)されていないサイトは閲覧しない 」など、従業員に対する情報セキュリティ教育の実施が不可欠です。
※2 SSL化(https化)…インターネット上の通信を暗号化することで、攻撃者に情報を傍受されたとしても、個人情報の流出や改ざんなどを回避できる仕組み
マルウェア「RedTail」対策ならLANSCOPEサイバープロテクションにお任せ
RedTailを含むマルウェアを高い精度で検知するなら、弊社のAIアンチウイルス「LANSCOPE サイバープロテクション」をご検討ください。未知のマルウェア検知・ブロックに対応する、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- アンチウイルス ✕ EDR ✕ 監視サービスをセットで利用できる「Aurora Managed Endpoint Defense」
- 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」
「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense」を提供しています。
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。
- 脅威の侵入をブロックするAIアンチウイルス「Aurora Protect」
- 侵入後の脅威を検知し対処するEDR「Aurora Focus」
セキュリティのスペシャリストが徹底したアラート管理をおこなうため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。
また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
2. 各種ファイル・デバイスに対策できるNGAV「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。
「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
※Unit221B社調べ
万が一、マルウェアに感染した場合は? インシデント対応パッケージにお任せください
「マルウェアに感染したかもしれない」
「サイトに不正ログインされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定。マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまで提供します。
「自社で復旧作業が難しい」「攻撃の経路や影響範囲の特定を専門家に任せたい」という方は、ぜひご検討ください。
まとめ
本記事では「RedTail」をテーマに、その危険性や有効な対策などを解説しました。
本記事のまとめ
- RedTailは、仮想通貨 Moneroを不正にマイニングするために設計されたマルウェア
- 2024年10月に大手フードデリバリー企業で、RedTail感染による大規模なシステム障害が発生し、サービスが3日以上停止
- 主な感染経路は、悪意あるメールの添付ファイルやリンク、Webサイトの閲覧、ソフトウェアのダウンロード、サーバーの脆弱性、ネットワーク設定の不備
- RedTailに感染すると、デバイスやサーバーのパフォーマンス低下、ネットワーク遅延、ハードウェアの過熱や故障、消費電力の増加、持続的なマルウェア感染のリスクなどがある
- 有効な対策として、エンドポイントセキュリティの強化、OSやサーバー、アプリケーションの定期アップデート、ネットワーク監視、従業員へのセキュリティ教育などが重要
RedTailに感染すると、デバイスのパフォーマンス低下やネットワーク遅延などの深刻な被害が発生する可能性があります。企業や個人は、エンドポイントセキュリティの強化や定期的なシステムアップデート、従業員へのセキュリティ教育を徹底することで、RedTailの感染を防ぐことが重要です。
おすすめ記事
