今日、あるサイトを開いた途端に私のPCのCPUファンがものすごい勢いで回り出す音がしました。
特に何か重いコンテンツがあるわけでもなさそうだったので、「裏で何かしているんじゃないの?」と思い、ソースを調べてみると、Coinhiveが埋め込まれていました。
Coinhiveとは
2017年末辺りから話題になっているようですが、CoinhiveというのはCoinhive.comで提供されている仮想通貨マイニングをするサービスとスクリプトのことです。
このスクリプトをサイトの中に設置しておくと、そのサイトを訪問した人のPCのCPUを勝手に使ってマイニングをし、採掘した通貨の70%をサイトオーナーが受け取り、残りの30%をCoinhiveが取るという仕組みです。
つまり、閲覧者がブラウザでそのサイトを開いている間中CPUがフル回転し、その分電気代がかかっていくということです。
この仕組みはかなり反感を買っているようですが、当然のことでしょう。
閲覧者が知らないうちに電気代を多く支払うことになる代わりに、サイトオーナーとCoinhiveが利益を得るのですから。
これは、閲覧者の合意が無いという時点で窃盗と同じです。
「分からなければいいだろう」と、こういったスクリプトをこっそり仕込むサイトオーナーのモラルを疑います。
それに、設置がバレたら、ちょっとした小遣い稼ぎと引き換えにサイトへの信頼が下がることになります。
Coinhiveは、「この仕組みによってスパムが減る」とか、「広告無しのサイトにすることができる」などと主張しています。
スパムが減るというのは、「スパマーがサイトを訪れるとマシンリソースを消費するのでスパマーがダメージを受ける」という理屈ですが、悪意のない訪問者が受ける不利益は全く無視ですか!
そして、広告とCoinhiveは全く違います。
広告は閲覧者には明白ですし、広告をクリックしたところで閲覧者が知らないうちにお金を取られるという事態にはならないからです。
そもそも、相当なアクセス数があるサイトでないとCoinhiveからの収入は微々たるもので、広告を使ったほうが遥かに効率が良いようですが。
いずれにしても、Coinhiveの一番ダメなところは、「こっそり他人のPC(電気代)を使って稼ごう」というその姿勢です。
「サイトを閲覧している間くらい、少しお金をくれてもいいじゃないか」という意見も中にはあるようですが、それは設置者の自分勝手な意見であって、合意が無い時点で盗みと同じです。
しかも、閲覧者がそのサイトを開きっぱなしにしておいたらどんどん電気を消費していくわけです。
消費電力の多いCPUを使っていたらたまったものではありません。
さらにタチの悪いスクリプトが出始める
今ではCoinhiveは予め、「あなたのPCを使用してマイニングさせてもらいますがいいですか?」といったような表示をポップアップして、合意があった場合のみマイニングするようになっているようです。
これならばまあ、納得ができますが、この問題はこれだけでは済みませんでした。
Coinhiveのスクリプトを改造したものが出始めたのです。
この改造版は、ポップアップを表示せず、さらに、CPU使用率が増加することによってPCが遅くなったりして閲覧者にバレるのを防ぐために、中程度の使用率に留めるようです。
悪意のあるスクリプトの設置者は上記のようなポップアップなど邪魔なだけですので、こういった改造されたものを使うでしょう。
さらには、サイトを訪問すると、新たなブラウザのウィンドウをユーザーに隠すように開き、ユーザーがブラウザを閉じたと思ってもその小さいウィンドウが開いたままでマイニングし続けるというものまで出てきました。
詳しくは以下のサイトに説明が出ています。
『ブラウザを終了してもマイニングし続けるマルウェア』12/2 NEWS | 暗号通貨・仮想通貨データベース
そして問題となるのがユーザーはサイトの閲覧を終了し、ブラウザを閉じた後です。
本来ならば、この時点でCoinhiveによるマイニングは終了されるのですが、終了はなされず、逆にCPU使用率が増加してマイニングが行われ続けます。
ユーザーが使用していたブラウザウィンドウは閉じられているにも関わらず、何故マイニングが行われるのか、実はこれには隠されたブラウザウィンドウが存在しており、タスクバーのすぐ下に収まる大きさでユーザーのPCに表示された時計の後ろに存在しているのです。
しかも、このスクリプトは広告ブロッカーまでバイパスさせるようになっているといいます。
全く油断も隙もありません。
現在の解決案
幸い、No Coinというプラグインを使うことによってこれらのスクリプトを無効にすることができます。
私もFirefox版を試してみましたが、上手く動作しているようです。
現在、Chrome、Firefox、Opera版がリリースされています。
こういうことはイタチゴッコになることが常ですので、今後、このプラグインをバイパスできるような、さらに進化したものも出てくるのではないかと思います。
ねずみ講、詐欺コイン、マルウェアと、情報を知らないと知らないうちに搾取されたり大損をする機会が益々増えてきました。
コンピュータの世界にあまり縁がない人には難しいかもしれませんが、日頃からこういった様々なニュースや情報を積極的に得るようにする以外、自分を守っていく道は無いでしょう。