Video Screencast Help
Security Response

Trojan.Badminer による Bitcoin マイニング

Created: 17 Aug 2011 12:08:58 GMT • Translations available: English
Poul Jensen's picture
0 0 Votes
Login to vote


この数か月ニュースを賑わせている Bitcoin が、巷で大きく話題になっています。Bitcoin がどのようにマルウェアの標的になるかについては、Trojan.Cointbitminer の過去の活動で確認されています。このトロイの木馬は、侵入したコンピュータのプロセスで貴重な CPU サイクルを使い切って、Bitcoin を「採掘(マイニング)」します。ほかに、Bitcoin を盗むことで、もっと直接的で簡単なルートを取るマルウェアグループもあります。

さらに、Bitcoin マイニングの痕跡に、Trojan.Badminer と呼ばれる新しいトロイの木馬が見つかりました。この新しいトロイの木馬は、以前のように、つるはしとショベルを持ち出すのではなく、強力な重機を使って活動します。そのため、Bitcoin のフローが以前よりも短時間のうちに採掘されるようになりました。

マイニングという点では、Badminer はあらゆる事態に対応する機能を備えています。動作しているコンピュータの種類を検知し、その種類に適した「重機」を使ってハッシュを掘り、隠れた財宝を見つけ出します。コンピュータに高仕様のグラフィックカードと高速グラフィック処理ユニット(GPU)が搭載されていることがわかると、適切なパッケージで GPU の高い処理能力を活用し、ハッシュの山を文字通り突き進んで、価値あるBitcoin に辿り着きます。逆に、低仕様のコンピュータが見つかった場合は、Bitcoin マイニングの基本ツールを使用するため、スループットはずっと小さくなります。トロイの木馬はマイニング機能を実行するために、RPC マイナープログラムと Phoenix マイナープログラムの両方を持っています。後者の Phoenix マイナープログラムでは、Bitcoin マイニングのために GPU の余剰処理能力を利用することができます。

スループットの差は、従来の坑道から採掘する方法と、山の側面を爆破し穴を開けて採掘物を運び出す方法の違いにたとえることができます。

GPGPU とは
GPGPU は、General Purpose computing on Graphics Processing Units(GPU による汎目的計算)の略です。最新の GPU の処理能力は、特定の種類の数学的計算(浮動小数点演算)向けに高度に最適化されており、並列処理を前提としています。特化したタスクでのパフォーマンスは、従来の汎用 CPU をはるかに凌ぐものです。そのため、Bitcoin マイニングのほか、パスワードデータベースに対する総当たりハッシュ攻撃、折りたたみ(スタンフォード大学で始まった蛋白質折りたたみシミュレーション処理プロジェクトの「Folding@home」)でも、GPGPU の考え方は非常に有用です。

マイニングのパフォーマンス: GPGPU CPU
GPGPU による Bitcoin マイニングは、一般的な CPU を使った Bitcoin マイニングと比べて、どれくらい高速なのでしょうか。Bitcoin マイニングのスループットの単位はメガハッシュ/秒です。これは、1 秒間に処理できる暗号学的ハッシュ数(百万単位)を表します。たとえば、Intel i7 990 を搭載している場合のスループットは 33.3 メガハッシュ/秒であると報告されています。一方、Atom N270(多くのネットブックに搭載)を使用するローエンドシステムのスループットはわずか 1.19 メガハッシュ/秒です。次の図では、一般的なグラフィックカード複数枚の場合と CPU 1 基の場合のメガハッシュ/秒を比較しています。

この表を見るとわかるように、CPU を使ったマイニングと GPGPU を使ったマイニングでは、パフォーマンスに大きな差があります。ローエンド CPU の処理能力が約 1 メガハッシュ/秒であるのに対して、ハイエンドグラフィックカードでは数百メガハッシュ/秒という結果が出ています。

換金
Bitcoin は仮想通貨であるため、限られた販路でしか使用できません。実際の購入力を得るには、Bitcoin を売って本物の通貨を手に入れる必要があります。両替レートは変動するものの、この記事を作成している時点での米ドルと Bitcoin のレートは 1 Bitcoin= 11.44 ドルです。Bitcoin の過去の両替レートは 20 ドル前後でしたが、ほぼ半額に下落して現在の水準になっています。

また、マイニング活動から利益を得るには、難易度も考慮する必要があります。この値は、ハッシュ化の問題を解決して Bitcoin を発見するのが現在どれくらい困難かを示します。この記事の作成時点で、難易度は 1690906.20472 です。

これらの数値に基づき、前述したいくつかのグラフィックカードから見込める利益を計算できます。AMD Radeon 6750 カードの処理能力は 167.5 メガハッシュ/秒、AMD Radeon 6990 のようなハイエンドカードの処理能力は 758.82メガハッシュ/秒と報告されています。

たとえば、理想的な状況では、ハイエンドグラフィックカードで 13.71 Bitcoin の発見が見込まれ、これは月 156.84 ドルに相当します。単独では大きな金額ではありませんが、トロイの木馬が侵入した他のコンピュータを数百または数千台集め、それぞれで数 Bitcoin を生成すれば、大きな金額になります。

推測
Peter Coogan 氏による以前のブログ記事では、ボットネットをレンタルして Bitcoin マイニングを実行する方法には経済的合理性がないと述べられています。ボットネットのレンタル料金と、CPU ベースの Bitcoin マイニングソフトウェアによるスループットを考えると、割に合わないためです。Trojan.Badminer が登場し、高速グラフィックカードが普及した現在では、ボットネットをレンタルし、Bitcoin マイニングを分散化して大規模に処理を展開する方法は、おそらく経済的に成り立つでしょう。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blog Entry Filed Under: