応用情報技術者試験 応用情報技術者試験 令和2年度 午前 問41: クリプトジャッキングに該当するものはどれか。

問題本文

クリプトジャッキングに該当するものはどれか。

選択肢

• ア.PCにマルウェアを感染させ，その PC の CPU などが有する処理能力を不正に利用して，暗号資産の取引承認に必要となる計算を行い，報酬を得る。
• イ.暗号資産の取引所から利用者のアカウント情報を盗み出し，利用者になりすまして，取引所から暗号資産を不正に盗みとる。
• ウ.カード加盟店に正規に設置されている，カードの磁気ストライプの情報を読み取る機器から，カード情報を窃取する。
• エ.利用者の PC を利用できなくし，再び利用できるようにするのと引換えに金銭を要求する。

正解

ア. PCにマルウェアを感染させ，その PC の CPU などが有する処理能力を不正に利用して，暗号資産の取引承認に必要となる計算を行い，報酬を得る。

解説

クリプトジャッキングとは、他人のコンピュータの処理能力を本人に無断で借用し、暗号資産(仮想通貨)のマイニング(取引承認に必要な計算)を行って報酬を得る攻撃を指す。暗号資産は分散型台帳(ブロックチェーン)上で取引の正当性を計算で承認することにより新規発行・報酬付与される仕組みであり、この計算には大量のCPU/GPU処理が必要となる。攻撃者は被害PCにマルウェアを仕込み、その演算能力を盗用して自分の報酬を稼ぐため、これを正しく説明しているアが正解である。

選択肢ごとの解説

• ア.マルウェアで感染させたPCのCPUの処理能力を不正に利用して暗号資産のマイニング(取引承認の計算)を行い報酬を得る行為であり、クリプトジャッキングの定義そのものなので正しい。
• イ.アカウント情報を盗んでなりすまし、取引所から暗号資産を盗み取る行為であり、不正アクセスによる窃取(または不正送金)に当たる。マイニング能力の盗用ではないので誤り。
• ウ.正規の決済端末(カードリーダ)から磁気ストライプのカード情報を抜き取る行為で、スキミングの説明である。暗号資産とは無関係なので誤り。
• エ.PCを使えなくして復旧と引換えに金銭を要求する行為は、ランサムウェアの説明であり、クリプトジャッキングではないので誤り。