欧州各国のスパコンにハッカー侵入し暗号通貨採掘。新型コロナ研究に優先利用の矢先

カナダ、中国、ポーランドの大学のアカウントが使われました

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2020年05月18日, 午後 06:00 in Security
0シェア
FacebookTwitter
gorodenkoff via Getty Images

欧州各国で、スーパーコンピューターが何者かにハッキングされ暗号通貨の採掘に使用される問題が発覚しました。すでに英国、ドイツ、スイスでハッキングが確認され、スペインでも何らかの侵入が疑われるため、コンピューターをシャットダウンする状況となっています。先週月曜日、最初に報告をあげたのはスコットランドのエディンバラ大学が持つスパコン"ARCHER"で、ログインノードにセキュリティ侵害の形跡が発見されたとのこと。大学では調査と再発防止のため、システムのシャットダウンとSSHパスワードのリセット処理などが実施されました。

ドイツでも同日、複数のスーパーコンピューター全体で研究プロジェクトを調整する組織bwHPCがとりまとめる、シュツットガルトHPCセンター (HLRS)の"Hawk"、カールスルーエ工科大学の"bwUniCluster 2.0"および"ForHLR II"、さらにウルム大学の"bwForCluster JUSTUS"、エバーハルト・カール大学テュービンゲンの"bwForCluster BinAC"のそれぞれに「セキュリティ問題」が見つかったためシャットダウン対応をとり、侵害の調査を行っています

水曜日になるとセキュリティ研究者Felix von Leitner氏がブログへの投稿でスペイン・バルセロナにある研究機関のスーパーコンピューターがセキュリティ上の問題のためにシャットダウンが実行されたと報告したほか、翌木曜日は独バイエルン科学アカデミー傘下のライプニッツ・スーパーコンピューティング・センター(LRZ)でもセキュリティ侵害が見つかりインターネット接続を遮断したとの報告があがり、さらに独ユーリッヒ総合研究機構も、セキュリティ上の問題で"JURECA"、"JUDAC"、"JUWELS"の各スパコンを停止しました。

まだ終わりません。先週土曜日には独ルートヴィヒ・マクシミリアン大学ミュンヘンの高性能コンピューティング・クラスターで見つかったマルウェアの分析結果が公表され、チューリッヒにあるスイス国立スーパーコンピューティングセンターでも"サイバーインシデント"の発覚に伴い安全な環境へ復元するためにインフラのシャットダウンが行われました。

明けて今週月曜日、欧州全体でスーパーコンピューターによる研究資源の割り振りを調整するEuropean Grid Infrastructure(EGI)のセキュリティインシデント対策チーム (CSIRT) は、一連のセキュリティ侵害を受けたスパコンからマルウェアのサンプルとネットワーク障害の情報を取得、米国の情報セキュリティ企業Cado Securityでマルウェアを分析したところ、いずれもカナダ、中国、ポーランドの大学内アカウントによるSSHでのログイン認証情報を盗用したとの結果が得られたとのこと。

攻撃方法の概要としては、スパコンにアクセス後、CVE-2019-15666で示されるLinuxカーネルの脆弱性を突いて管理者権限に昇格、暗号通貨Monero (XMR)の採掘プログラムを動かしたとみられます。確たる証拠はないものの各事例には共通点が多く、同一の人物やグループによる仕業の可能性が考えられます。

これまでにも、スパコンにアクセスできる立場の人物がその計算能力を個人的な暗号通貨採掘に利用しようとした事例は複数発生しています。しかし今回の一連の侵害はハッカーや組織がそれを実行した初の例かもしれません。欧州では先週、各国のスパコンのリソースを新型コロナウイルスの研究に優先的に割り当てる方針を示したところでした。その矢先に実行された心ないハッキング行為が、今後世界中で救えるはずの命のうちのいくらかを落とさせる原因になった可能性は否定できません。

 
 
新型コロナウイルス 関連アップデート[TechCrunch]

 

関連キーワード: coronavirus, Covid-19, cryptocurrency, cryptomining, Europe, gear, hack, hacks, internet, Malware, news, Security, supercomputer
0シェア
FacebookTwitter