2.1 Passive DNS (pDNS) 分析
中核的な方法論は、分析を伴います パッシブドメインネームシステム(pDNS)トレースpDNSデータは、DNSクエリと名前解決の履歴記録を提供し、研究者がドメイン名とIPアドレスの経時的な対応関係を把握し、エンティティ間の関連性(例:マイニングプールのドメインとクラウドプロバイダのIPレンジ)を特定することを可能にします。
1. はじめに
暗号通貨は、ブロックチェーン技術の主要な応用例として、急速な成長と主流社会への普及を遂げてきた。このエコシステムの基本的な構成要素の一つが、 マイニングプールマイニングプールとは、計算リソースを統合してブロック報酬獲得の確率を高め、得られた報酬を比例配分する採掘者集団である。暗号通貨は多くの利点を提供する一方、その擬似匿名性と分散型の性質は、ランサムウェアの支払いや秘匿的なC2(コマンド・アンド・コントロール)運用などの悪意ある活動を容易にする。本論文は、暗号通貨マイニングプールとパブリッククラウドインフラの重要な接点を調査し、それらの関連性をプロファイリングし、セキュリティ上のリスクを測定し、その背後にあるダイナミクスをモデル化することを目的とする。
中心的な仮説は、スケーラビリティ、柔軟性、悪用の可能性(例:侵害されたインスタンス経由)から、攻撃者が暗号通貨マイニングにパブリッククラウドリソースをますます活用しているというものである。この変化は、追跡可能なプライベートサーバーから、一時的なクラウドベースの攻撃前線へと移行する、現代のコンピュートトレンドと攻撃者のインセンティブの収束を表している。
2. Methodology & Data Collection
本研究は、ネットワークインテリジェンスデータに基づく受動的・観察的アプローチを採用しています。
2.2 データソースと処理
大規模なpDNSデータセットからデータを集約しました。マイニングプールのドメインは、公開されているリストとブロックチェーンインテリジェンスソースを通じて特定されました。これらのドメインから解決されたIPアドレスは、それぞれの自律システム番号(ASN)と組織所有者にマッピングされ、クラウドサービスプロバイダー(CSP)を特定するために使用されました。セキュリティ評価データは、悪意のある関連性を評価するために、 VirusTotal から照合されました。
3. Key Findings & Statistical Analysis
関連するクラウドプロバイダー
24
マイニングプールに関連付けられたユニークなクラウドプロバイダーが発見されました。
主要プロバイダーのシェア
~48%
Amazon (AWS)およびGoogle Cloudに関連するアソシエーションの割合。
悪意のあるエンドポイント(上位2つのCSP)
30-35%
VirusTotalで悪意のあるものとしてフラグ付けされた関連エンドポイント。
3.1 マイニングプールとのクラウドプロバイダ関連性
分析により明らかになったのは、 24の異なるパブリッククラウドプロバイダが DNS解決パスを通じて暗号通貨マイニングプールと観測可能な関連性を持っていることです。市場は高度に集中しており、 Amazon Web Services (AWS) と Google Cloud Platform (GCP) これは、観測された関連付け全体のほぼ半数(48%)を占めています。これは、マイナーや潜在的な悪意のある行為者が、その広大なグローバルインフラストラクチャ、信頼性、正当なトラフィックに紛れ込みやすいことから、大規模で確立されたプロバイダーを好むことを示唆しています。
3.2 分布と優先的接続
クラウドプロバイダーの存在とマイニングプールへの接続数(関連付け)の分布は、 ヘビーテール分布に従い、スケールフリーネットワークの特徴を示している。このパターンは、本質的な preferential attachment model人気のあるマイニングプールは大規模なクラウドプロバイダーと新たな関連を形成しやすく、逆もまた同様であり、「富める者はより富む」という力学を生み出している。これは、ソーシャルメディアから引用グラフに至るまで、他の技術的ネットワークで観察される成長パターンを反映している。
3.3 セキュリティリスク評価
A significant security finding is the high rate of malicious association. Among the endpoints (IPs/domains) associated with the top two cloud providers (AWS & GCP), 30-35%が陽性検出されました VirusTotalスキャンに基づき、悪意のある活動に関連している。この高い割合は、クラウドベースのマイニングが単なる正当な商業活動ではなく、暗号ジャッキング、侵害されたリソース、その他のサイバー犯罪と深く結びついていることを強調している。本論文はまた、マイニングの Metaverse関連通貨進化する敵対的インセンティブを示唆している。
4. Technical Framework & Mathematical Modeling
観測された優先的接続は数学的にモデル化できる。$G(t)$を時間$t$におけるネットワークグラフとし、ノードはクラウドプロバイダーとマイニングプールを、エッジは観測された関連性を表す。ノード$i$への新たな接続が確立される確率$\Pi(k_i)$は、その現在の次数$k_i$に比例する:
$$
さらに、クラウドプロバイダ $c$ に対するセキュリティリスク $R_c$ は、その関連ボリューム $V_c$ とそれらの関連における悪意のある比率 $M_c$ の関数として概念化できる:
$$
5. Experimental Results & Charts
チャート1: Cloud Provider Association Share. 円グラフまたは棒グラフは分析を視覚的に支配し、AWSとGCPが協会シェアの約48%を共同で保持していることを示し、残りの52%を構成する他のプロバイダー(Microsoft Azure、Alibaba Cloud、DigitalOceanなど)のロングテールが続く。
チャート2:次数分布の対数-対数プロット。 重要な実験結果は、ノード次数分布の対数-対数プロットである。このチャートは負の傾きを持つ直線を示し、べき乗則の裾の重い分布 $P(k) \sim k^{-\gamma}$ を確認する。このプロットは、働いている優先的接続メカニズムの直接的な証拠である。
チャート3:主要プロバイダーごとの悪意のあるエンドポイント比率。 AWSとGCPを比較したグループ化棒グラフでは、AWS関連エンドポイントの約35%、GCP関連エンドポイントの約30%が悪意ありとフラグ付けされており、セキュリティリスクの定量化された尺度を示している。
6. 分析フレームワーク:ケーススタディ
ケース:疑わしいクリプトジャッキング操作の追跡
ステップ1 - シード識別: 脅威インテリジェンスフィード(例:`malicious-miner-pool[.]xyz`)から既知の悪意のあるコインマイナーバイナリまたはドメインを開始点とする。
ステップ2 - pDNS拡張: シードドメインに関連する過去6ヶ月間の全てのIPアドレス(`A`レコード)についてpDNSデータを照会する。
ステップ3 - クラウド属性判定: 解決された各IPについて、WHOIS検索とASNマッピングを実行する。主要なCSP(例:AWS `us-east-1`)に属するIP範囲をフィルタリングする。
ステップ4 - グラフ構築: データを二部グラフとしてモデル化する:ノードの一方の集合はマイニングプールドメイン、もう一方はCSPのIPブロックである。ドメインがそのブロック内のIPに解決された場合、エッジが存在する。
Step 5 - Anomaly Detection & Risk Scoring:
- ボリュームスパイク: 特定のCSP IPブロックが突然、数百もの新しい一時的なマイナードメインを解決するかどうかを検出する。これは大規模な自動化された展開の兆候である。
- 悪意のある相関: 発見されたすべてのドメインをVirusTotal APIで相互参照する。リスクスコアを計算:$\text{スコア} = \frac{\text{\# 悪意のあるドメイン数}}{\text{総ドメイン数}} \times \log(\text{総ユニークIP数})$。
- 時間的分析: テイクダウン通知後、マイニング活動があるCSPから別のCSPへ移行するか観察し、敵対者の回復力を示す。
結果: このフレームワークは、単一の悪意あるインスタンスだけでなく、クラウドインフラ全体にわたる悪用パターンも識別可能であり、特定の高リスクIPブロックに関するターゲットを絞ったアラートをCSPのセキュリティチームに提供します。
7. Future Applications & Research Directions
CSP向けプロアクティブ脅威ハンティング: クラウドプロバイダーは、同様のpDNS分析を内部のセキュリティオペレーションセンター(SOC)に統合し、不正採掘に使用されるリソースを事前に特定して停止することで、悪用を削減し、正当な顧客のためのインフラを保護できます。
ブロックチェーン分析統合: 今後の研究では、オンチェーン取引データとオフクラウドIPインテリジェンスを融合させるべきである。マイニング報酬アドレスとクラウドホスト型プールエンドポイントを関連付けることで、研究者はクリプトジャッキング収益の資金の流れを追跡できるようになる。これはChainalysisやEllipticが用いる手法に類似した技術である。
3. AI駆動行動検知: 機械学習モデルは、クラウドインスタンスのネットワークおよびリソース消費パターン(CPU/GPU負荷、既知プールへのネットワークトラフィック)を用いて学習させ、マイニングマルウェアをリアルタイムで検出できる。これはエンドポイント検出・対応(EDR)ツールの動作に類似するが、ハイパーバイザーレベルで行われる。
4. Policy & Regulatory Implications: 本研究はデータギャップを浮き彫りにしている。規制当局は、金融活動作業部会(FATF)の枠組みで示唆されているように、金融取引報告と同様に、暗号通貨マイニングトラフィックに関する集計指標の報告をCSPに義務付けることを検討する可能性があり、これによりエコシステムの透明性向上と不正資金対策が進むと考えられる。
5. 次世代資産の研究: 前述の通り、メタバース通貨への移行が進行中である。今後の研究は、プライバシーコイン(例:Monero、Zcash)や、仮想世界・分散型物理インフラネットワーク(DePIN)に関連する新たなProof-of-Work資産のマイニングプールへの分析を拡大しなければならない。
8. References
- Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
- Barabási, A. L., & Albert, R. (1999). Emergence of scaling in random networks. 科学, 286(5439), 509-512.
- Möser, M., et al. (2018). An Empirical Analysis of Traceability in the Monero Blockchain. Proceedings on Privacy Enhancing Technologies.
- Vasek, M., & Moore, T. (2015). There's no free lunch, even using Bitcoin: Tracking the popularity and profits of virtual currency scams. In Financial Cryptography and Data Security.
- Financial Action Task Force (FATF). (2021). 仮想資産及び仮想資産サービス事業者に対するリスクベースアプローチのためのガイダンス(改訂版).
- Zhu, J. Y., et al. (2017). 循環一貫性敵対的ネットワークを用いた非対画像間変換。 Proceedings of the IEEE International Conference on Computer Vision (ICCV). (ドメイン間マッピングにおける方法論的類推のためのCycleGAN参照)。
- Cloud Security Alliance (CSA). (2022). Top Threats to Cloud Computing: The Egregious 11.
- VirusTotal. (n.d.). Google's VirusTotal API Documentation. Retrieved from https://developers.virustotal.com/
核心的洞察
本論文は単なるクラウド上の暗号通貨マイニングに関するものではない。それは、集中型でスケーラブル、オンデマンドという現代コンピューティングのアーキテクチャそのものが、分散型でリソース集約的なブロックチェーン経済を支えるために、しばしば悪意を持って流用されている実態を露わにした告発である。観測された活動のほぼ半数がAWSとGoogle Cloudを経由しているという発見は、「クラウド中立性」が敵対的環境においては神話に過ぎないことを示す、これまでで最も決定的な証拠である。主要なCSPは、知らず知らずのうちに、正当なものと違法なものの両方のマイニング活動の不均衡な基盤となっている。これにより巨大な非対称性が生じる。防御側は広大で共有された攻撃対象領域を保護しなければならない一方で、攻撃側は一時的なクラウドリソースの俊敏性と匿名性を享受できるのだ。
論理の流れ
著者の論理は説得力があり、方法論も堅固である。彼らは確固たる前提から始めている:クラウドの普及と暗号通貨の拡散が収束することは、悪用の自然な標的となる。pDNSを基礎的なレンズとして用いるのは巧妙である——それは受動的でグローバルな真実の情報源であり、侵襲的なエンドポイント監視の必要性を回避する。単純な関連付けのカウントから、裾の重い分布の特定へと進展する点で、分析は単なる測定を超越している。Barabási-Albertの優先的接続モデルを援用することで、彼らは「何が」から「なぜ」へと移行し、クラウドマイニングネットワークはランダムではなく、予測可能で自己強化型の成長パターンに従っていると論じる。これは、ソーシャルネットワークやWorld Wide Webそのものがどのように進化したかに類似している。VirusTotalを通じて定量化されたセキュリティリスクへの最終的な飛躍は、抽象的なネットワークモデルを具体的で実践可能な脅威インテリジェンスへと結びつける。
Strengths & Flaws
強み: 本論文の主な強みは、その data-driven, empirical approach推測を排し、すべての主張を観測されたpDNSデータに基づかせている。確立されたネットワーク科学の原理(スケールフリーネットワーク)の使用は、理論的な重みを大きく加えている。焦点は Metaverse currencies は先見の明があり、この研究が単にビットコインマイニングのような過去の脅威だけでなく、敵対的革新の最先端を追跡していることを示している。
致命的欠陥: しかし、この分析には顕著な盲点がある。第一に、それは 本質的に回顧的であるpDNSは攻撃の発生箇所を示す あった、現在の発生箇所ではなく ある または となる. 高速フラックスDNSや直接IP接続を使用する高度な攻撃者はこれを回避できる。第二に、 因果関係の主張は弱いpDNSにおける関連性は、クラウドインスタンスが used for マイニング; それはプールと通信する良性サービスである可能性もあれば、マイナースクリプトが埋め込まれた侵害されたウェブサイトである可能性もある。Zhu et al.のCycleGANのような研究で用いられている技術——正当な関連パターンと悪意のある関連パターンをより良く区別するために敵対的検証を採用する——を適用することで、本論文は改善される可能性がある。最後に、 経済的動因は十分に検討されていない. クラウドインスタンスのコストと暗号通貨の収益性を比較する単純なモデルは、攻撃者の投資収益率(ROI)を強力に説明し、次にどのクラウドリージョンやインスタンスタイプが標的となるかを予測するだろう。
Actionable Insights
CSPセキュリティチーム向け:実装 グラフベースの異常検知 自社の内部DNSログに対して実施してください。インスタンスが多様な既知のマイニングプールドメインに対して急速かつ連続的な名前解決を示すテナントにフラグを立ててください。これは自動化されたデプロイメントツールの特徴です。最も安価なコンピュートリソースがあるリージョン(AWSスポットインスタンスなど)のリソースを優先的に調査してください。
脅威インテリジェンス企業向け:これを統合せよ クラウド帰属層 貴社の暗号ジャッキングフィードに組み込むこと。単に悪意あるドメインを報告するだけでなく、それが特定のCSPのIPブロック上でホストされていることを報告し、プロバイダーとの直接連携チャネルを通じて、より正確かつ迅速な削除を可能にせよ。
For Regulators & Policymakers: Mandate 透明性報告. FATFのVASP向けトラベルルールで設定された先例に従い、マイニングを示す計算リソース消費パターンに関する集計された匿名化メトリクスの報告を大規模CSPに義務付けることを検討せよ。これにより、ユーザーのプライバシーを侵害することなく、問題をマクロレベルで把握できる。
結論として、AdeniranとMohaisenは隠された戦場の重要な地図を提供した。クラウドはもはや単なるユーティリティではない。それは暗号戦争における戦略的資源である。次の研究段階では、地図作成から予測と先制へと移行し、リアルタイムストリーミング分析と経済モデリングを活用して、既にクラウドの強みをその所有者に対して利用している敵対者よりも優位に立たねばならない。