Coinhive事件とは何か?その背後にある技術と問題点
ここまで仮想通貨の歴史からビットコインを支える技術であるブロックチェーンまで紹介してきたけど、今日は暗号資産の運用に参入する上で知っておくべき事件について解説して行きたいと思う。
既に解決した過去の問題ではあるのだけど、技術の歴史の一端を学ぶことで将来のリスク管理に役立ててもらいたいと思う。それではさっそく見て行こう。
- I. 本記事で扱うCoinhive事件について
- II. Coinhiveとは何か? 概要とサービス内容
- Ⅲ.Coinhiveが引き起こした事件のあらましとWebサイトへの攻撃
- IV. Coinhive事件が問題とするもの ウェブサイト訪問者のプライバシー侵害とセキュリティリスクの増大
- V. Coinhive事件から私たちが学ぶべきこと セキュリティ対策の重要性と仮想通貨マイニングのリスク
- VI. Coinhive事件が問題とする点のまとめ 今後の対策と展望
- Ⅶ. おわりに 事件のまとめと筆者の考え
I. 本記事で扱うCoinhive事件について
Coinhive事件とは、暗号通貨Monero(XMR)のマイニングスクリプトであるCoinhive(JavaScriptコード)を設置することによって、Webサイトの訪問者に無断でコンピューターを使用して仮想通貨を採掘した事件のことを指す。
つまりCoinhive が設置されたサイトを訪れた人が無自覚にマイニングを行ってしまう事態の是非が問われた事件のことなんだ。
問題はCoinhiveを利用して仮想通貨をマイニングするJavaScriptコードがWebサイトの利用者からの許可なしに設置されていたことだろう。
Coinhive事件は、Webサイト上で仮想通貨マイニングが横行する問題を浮き彫りにすることになるだけでなく、サイト閲覧時のセキュリティに対する脅威としても注目される切っ掛けになったんだ。
この記事では、Coinhive事件について、その背後にある技術や問題点、事件から学ぶべきことについて解説して行く。
Webサイトの運営者や利用者にとって本記事が役立つ情報となることを期待している。
II. Coinhiveとは何か? 概要とサービス内容
上記でも説明した通り、Coinhiveとは仮想通貨マイニングのための仕組みを提供するサービスだ。
コードをWebサイト上に設置することで、Webサイトの閲覧者のコンピューターを無断で使用して仮想通貨をマイニング(採掘)することができていた。
CoinhiveはMoneroという仮想通貨をマイニングすることを目的としたもので、この通貨はビットコインよりも匿名性が高く、CPUマイニングに向いているとされていたんだ。
Moneroは“サイト運営者が”安心して収益を得ることを実現した通貨であったと言える。
特にオンライン広告が不足しているWebサイトや非営利団体などが利用するには最適で、初期の頃は比較的穏健なマイニングコードとして受け入れられていたんだ。
しかし、その後不正なWebサイトがCoinhiveを使用することで、Webサイト利用者のコンピューターを不正に使用する事件が多発するようになってしまう。
また、Coinhiveは利用者の承諾を得ないまま、Webサイト上にコードを設置することが可能であった。
このため、多くのWebサイト利用者がCoinhiveによるマイニングに対して不快感を抱き、Coinhiveは悪評を買うことになってしまった。
考えても見て欲しい、ただサイトを閲覧していただけなのに自分のパソコンがマイニングに利用されていたら嫌な気持ちにならないだろうか。せめてその旨を分かり易く記載していればだいぶ印象が変わったのではないだろうか。
その後ようやくWebサイト利用者の承諾なしにマイニングが行われることを防止するために専用のAPIを提供するなどの対策を講じるようになったんだけど、その時点でCoinhiveの悪評は既に定着しており、多くのWebサイトはCoinhiveを排除するようになってしまったんだ。
Ⅲ.Coinhiveが引き起こした事件のあらましとWebサイトへの攻撃
Coinhiveが提供していたマイニングスクリプトは、多くのウェブサイトに設置され、訪問者がページを閲覧するだけで暗号通貨を採掘することができていた。
しかし、スクリプトが設置されたウェブサイトが増えるにつれて、悪意のある人々によって悪用されることが明らかになってきた。
Coinhiveのスクリプトを利用した不正な活動の1つが、ブラウザ内でのマイニングだ。これはスクリプトをウェブサイトに設置することなく、悪意のある攻撃者がWebページを閲覧している人のコンピューターにスクリプトを直接注入する手法で行われた。
これにより、攻撃者は自分自身の暗号通貨の採掘を行い、被害者のコンピューターの性能を大幅に低下させることができたんだ。
ここまでまとめると、問題の中心はCoinhiveスクリプトが設置されたWebサイトの一部は、訪問者に対して警告なしにスクリプトを実行するため、訪問者が自分のコンピューターで暗号通貨をマイニングしていることに気づかないことにある。
サイト訪問者が常にプライバシーに関する問題を抱えることがあるという状況は、安全なネット利用を脅かす脅威と言えるだろう。
特にサイトを閲覧しているだけで暗号通貨をマイニングすることが自動的に承認されてしまう状態は、コンピューターの処理能力を勝手に利用されてしまうということだ。
このような状態をコンピューターの所有者が快く受け入れるはずがないことは、インターネットを利用するものであれば容易に想像できるだろう。
以上の理由から、Coinhiveは、多くの人々から批判を浴び、ブラウザでの暗号通貨マイニングに関する議論を引き起こしたんだ。
IV. Coinhive事件が問題とするもの ウェブサイト訪問者のプライバシー侵害とセキュリティリスクの増大
ここまで説明してきた通り、Coinhive事件が問題とするものには、以下の点が挙げられる。
ユーザーに許可を得ずにコンピューターを使用すること
Coinhiveはユーザーの許可を得ずに訪問者のコンピューターを使用して暗号通貨を採掘していた。
このため、多くのユーザーは自分たちに何が起こっているのかを知らないうちにコンピューター(CPU)のパフォーマンスが低下していたという、妨害行為を受けているような状況に遭遇していた。
マルウェアや攻撃者に悪用されるリスクを抱えていた
Coinhiveスクリプトは、悪意のあるウェブサイトに埋め込まれ、マルウェア攻撃やハッキングに悪用される可能性もあった。
また、スクリプトを使用しているサイトは訪問者のコンピューターに悪意のあるスクリプトをインストールするための攻撃の手段として悪用される可能性もあった。
コンピューターのパフォーマンス低下
Coinhiveスクリプトは、コンピューターのパフォーマンスを低下させることがあったのは、先に説明した通りだ。
多くのユーザーは、自分たちのコンピューターが遅くなったと感じており、これは彼らがCoinhiveスクリプトを実行していたことが原因である可能性があった。
オンライン広告の収益低下
Coinhiveスクリプトを使用しているWebサイトは、広告収益を得るための広告を表示することができなくなる可能性があった。
これはCoinhiveスクリプトが広告と競合することが原因だった。
広告収益が減少すると、運営者は結局、サイトの維持に必要な資金を調達するためにCoinhiveスクリプトを使用する他なくなってしまうんだ。
ユーザーのプライバシー侵害
Coinhiveスクリプトは、ユーザーのプライバシーを侵害する危険性を抱えていた。
ユーザーのデバイスがCoinhiveスクリプトを実行している場合、彼らのアカウント情報やパスワードが漏洩する危険性があるからだ。
また、Coinhiveスクリプトは、ユーザーがどのようなWebサイトを訪問しているかを追跡することもできた。
さらにCoinhiveが被害者のコンピューターにJavaScriptマイニングコードを埋め込むことによって、そのコンピューターの性能が低下することも問題視された。
これにより、ユーザーが本来の目的でそのコンピューターを使用する際に遅延が発生し、不快な体験を強いられることになってしまった。
それに加えてCoinhiveが開発したJavaScriptマイニングコードは、悪意のある攻撃者に悪用される可能性もあり、ユーザーのコンピューターを不正にマイニングに使用するマルウェアの形で検出されることもあったんだ。
以上のようにCoinhive事件は、ユーザーのプライバシーとセキュリティ、そしてインターネット上の広告ビジネスにおける倫理的な問題を提起することとなった。
この事件を受けてCoinhiveはサービスの終了を発表し、JavaScriptマイニングのような不正な活動による被害を防止するためにWebブラウザーなどの開発者による規制が導入されることになった。
V. Coinhive事件から私たちが学ぶべきこと セキュリティ対策の重要性と仮想通貨マイニングのリスク
Coinhive事件は、仮想通貨をマイニングするために利用されるJavaScriptの不正使用によって引き起こされた問題である。
この事件から、私たちはいくつかの重要な教訓を得ることができる。
第一に、ユーザーのプライバシーは常に尊重されるべきであるということだ。
Coinhiveは、ユーザーの同意を得ずにコンピューターのリソースを無断で使用していた。これは明らかに不正行為である。
オンライン上でのビジネスを展開する企業は、ユーザーのプライバシーに配慮し、倫理的な行動をすることが重要だ。
第二に、技術には悪用される可能性があることを認識しなければならないということだ。
Coinhiveは、元々は合法的な仮想通貨マイニングサービスとして設立されたが、悪意のある人々によって悪用されてしまったことを思うと、新しい技術が出現するたびに、その技術の悪用に対するリスクを考慮する必要があるだろう。
最後に、この事件はオンライン広告に対するユーザーの不信感を示していることも考慮しておくべきだろう。
多くのユーザーは、広告をクリックすることでマルウェアに感染するリスクがあることを理解しており、広告ブロッカーを使用する者も増えている。
オンライン広告業界は、ユーザーの信頼を回復するためにより透明性の高い広告ネットワークを構築する必要がある。
このようにCoinhive事件はオンラインセキュリティとプライバシーに関する懸念を再度浮き彫りにした。
私たちは、より安全で倫理的なオンライン環境を構築するためにこの事件から多くの教訓を得ることができるだろう。
VI. Coinhive事件が問題とする点のまとめ 今後の対策と展望
Coinhive事件は、仮想通貨に関する新しい問題点の一例であると同時にコンピューターの性能を無断使用できる技術があることに対する注意を促すことを示した。
このような技術は今後も出現する可能性はあるし、個人情報の漏洩や不正利用といった問題に直面する可能性も十分あることを覚えておかなければならない。
また、この事件はブロックチェーン技術の強力なシステムである分散化に注目することを促してくれた。
Coinhiveの技術は、特定のコンピューターシステムを標的にすることができ、それが事件の深刻な問題点の一つであったが、ブロックチェーン技術は分散型のネットワークであり、一つのコンピューターシステムが標的にされた場合であっても他のコンピューターが請け負うノードでの処理が継続されるため、より安全であると言える。これは、分散型のネットワークが将来的にコンピューターシステムの攻撃や乗っ取りを防ぐために、ますます重要になる可能性があることを示唆している。
事件が不安を浮き彫りにすることでブロックチェーン技術の可能性に期待が寄せられるようになったと言えるだろう。
Ⅶ. おわりに 事件のまとめと筆者の考え
Coinhive事件では、日本国内で21人が検挙され、法律家やセキュリティ専門家の間から多くの疑問と見解が示された。
2019年1月より、横浜地方裁判所で公判が始まり、2019年3月に被告人は無罪が言い渡されている。横浜地方裁判所は、事前の注意喚起や警告がない中、いきなり刑事罰に問うのは行き過ぎであると指摘していた。
横浜地方検察庁はこの判決を不服として控訴したが、日本ハッカー協会が控訴費用を募ったところ、多くの寄付が集まったという。この事件によって、ウェブサイト上での暗号通貨のマイニングが問題視されるようになり、その設置には慎重な対応が求められるようになったというのが事件の顛末だ。
本件を巡る法律家やIT専門家の見解では警察の対応を問題視するものが多かった。
閲覧者に与える影響やCPU消費率がWeb広告と大差がないという理由で問題はないとする見解も散見される。
しかしながら、無罪判決後もサービスを続けた結果、仮想通貨Moneroの価格が暴落して2019年3月8日にCoinhiveのサービスが終了したこともまた事実である。
私見は、Webサイト閲覧者の意思を無視する形でマイニングスクリプトを動かすことは、倫理的にも合理的にも問題があるものと考えている。
起訴当時の検察が必ずしも無理筋な判断をしていたとは言い難いだろう。
一般的に、Webサイトの閲覧者は自分が訪れたサイトに対して明示的な同意なしに、そのコンピューターの処理能力を使われることを望んでいない。特にCoinhiveが利用するような暗号通貨マイニングスクリプトを動かす場合、それによってコンピューターのパフォーマンス低下が最小限であったとしても、閲覧者が目視で確認できるバナー広告などとは性質が異なることは明らかだろう。
無論、Coinhiveのサービスが違法であるかどうかについては、国や地域によって異なるため、一概に判断することはできない。
しかし、ウェブサイト運営者は、訪問者の同意を得ずにスクリプトを実行する行為が、果たして適切なものであるのかどうかをよく考えるべきであり、本件については自由な研究開発と技術の発展の問題とは切り離して見るべきだと言える。
ここまで読んでくれてありがとう。
今回解説したCoinhive事件は、仮想通貨技術が日々進化していく中で私たちが直面する可能性のある新たな問題点を示してくれたことが分かる。
この事件をきっかけに、今後の技術開発において、セキュリティ対策の重要性がさらに高まることが期待される。私たちは、技術の進歩に伴って新たなリスクが生まれることを理解し、それに対して適切な対策を講じることが必要になるだろう。
それではまた、次回に記事で。