2024年10月、フードデリバリーサービス大手の「出前館」で大規模なサービス障害が発生しました。3日間サービスが利用できなくなり、その機会損失は相当なものになったと思います。
その後原因が特定され、その結果を出前館が発表しました。それによると、原因は「Red Tail」というマイニングマルウェアだったとのこと。「Red Tail」とは？マイニングマルウェアとは？このあたりの解説をしたいと思います。

Red Tailとは

今回の出前館に対するサイバー攻撃に使われたのが、Red Tailです。このRed Tailはマイニングマルウェアと呼ばれるもので、簡単に言うと他人のWebサーバーに勝手に組み込み、そのWebサーバーのリソースを使って暗号資産のマイニングをするプログラムです。
近年では多くのWebサイトにPHPと呼ばれるプログラミング言語が用いられています。出前館の出前発注システムも、おそらくPHPで稼働していたものと思われます。なぜなら、Red TailがPHPを標的としたマルウェアだからです。
暗号資産のマイニングをするためには自分でネット回線やマシンを用意する必要があります。こうしたリソースは決して安いものではないので、誰もが一度は「他人のマシンとネット回線を使ってマイニングができたら儲かる」と考えるものです。このRed Tailはそれを実現できるプログラムなので、攻撃者は自分の暗号資産マイニングで儲けを出すために出前館のサーバーを狙ったのでしょう。
PHPはこうした標的になりやすいので、セキュリティ上の脆弱性を解決するために定期的なアップデートが行われています。今回のRed TailはPHPの一定よりも前のバージョンだと感染させることが可能なので、おそらく出前館のWebサーバーで稼働していたPHPのバージョンが古かったのでしょう。
サービスの停止は3日間ほど続きましたが、現在では復旧してサービスの提供が再開しています。

マイニングマルウェアの被害は今回が初めてではない

他人のリソースを使ってちゃっかり自分の暗号資産マイニングをして利益だけを持って行くという手口は、クリプトジャッキングと呼ばれています。過去にはCoinHiveというプログラムがWebサイトに仕込まれることによって暗号資産のマイニングが勝手に行われるという事例がありました。
このCoinHiveの場合はWebサイト管理者が自らの意思でプログラムを組み込むことが多かったため、問題はそれほど大きくはありませんでした。しかしながら閲覧者のマシンリソースが勝手に使われるため、そのことが問題視されました。
今回の出前館で発生した問題は、明らかにWebサーバーへのハッキングです。出前館が自らの意思でマイニングプログラムを組み込んだとは考えにくく、同社のリリースでも「Red Tailへの感染」と言っているので、出前館はサイバー攻撃の被害者です。

被害を防止するために

今後もこうした事例が続出するのは間違いなく、WebサイトやWebサーバーの管理をしている人は十分ご注意ください。定期的に不審なプログラムコードが埋め込まれていないか、身に覚えのない更新日時になっていないかといったチェックをするのが有効です。