近年、PCの動作が急に遅くなったり、サーバーの利用料金が原因不明で高騰したりする被害が報告されています。これらの原因は、もしかすると「クリプトジャッキング」かもしれません。クリプトジャッキングは、企業の資産を不正に利用するだけでなく、業務効率を著しく低下させる深刻なサイバー攻撃です。
本記事では、クリプトジャッキングの基本的な仕組みから、具体的な症状、そして企業が取るべき対策までを分かりやすく解説します。
クリプトジャッキングとは?気付かぬうちに加害者に
クリプトジャッキングとは、攻撃者が第三者のPCやサーバーの計算資源を無断で使い、暗号資産(仮想通貨)を採掘(マイニング)させるサイバー攻撃です。被害者は直接的に金銭を要求されるわけではありませんが、PCの動作が遅くなったり、クラウド利用料が高騰したりするなど、業務に深刻な影響を及ぼします。
別名「隠れマイニング」や「不正マイニング(不正採掘)」とも呼ばれることがあります。
暗号資産(仮想通貨)のマイニングとは
暗号資産は、円やドルのような中央銀行が存在しないデジタル通貨です。そのため、取引が正しいことを保証するために複雑な計算作業が必要となります。
この計算作業を「マイニング」と呼び、最初に計算に成功した人には報酬として新しい暗号資産が与えられます。
イメージとしては「大量の計算問題を解いて、一番に答えを出した人がご褒美(コイン)をもらえる」仕組みです。
ただし、このマイニングには高性能なコンピュータと多くの電力が必要で、多大なコストがかかります。
攻撃者はこのコストを他人に肩代わりさせるために、クリプトジャッキングという手口を用いるのです。
PoW型とPoS型の違い
ここで一つ補足すると、暗号資産には大きく二つの仕組みがあります。PoW型(Proof of Work):マイニングによる計算競争で新規発行される方式(例:Bitcoin、Monero)
PoS型(Proof of Stake):マイニングを行わず、通貨の保有量やステーク量に応じて承認権が与えられる方式(例:Ethereum、Cardano)
現在はPoS型が主流となっているため、クリプトジャッキングの主な標的はPoW型の通貨に限られると理解すると正確です。
クリプトジャッキングの特徴と目的
クリプトジャッキングは、他のサイバー攻撃のように直接金銭を要求したり、情報を盗み出したりすることを目的としていません。攻撃者の狙いは、あくまで「自分のコストをかけずに暗号資産を採掘(マイニング)すること」です。
このため、被害企業に現れる特徴は次のようなものです。
- リソースの浪費:CPUや電力、クラウド資源が奪われる。
- 業務効率の低下:PCやサーバーの処理速度が落ち、社員の生産性に影響。
- 追加被害の可能性:一部のマイニングマルウェアはバックドアやスパイ機能を持ち、情報漏洩リスクにつながる。
クリプトジャッキングの主な手口
クリプトジャッキングにはいくつかの種類がありますが、大きく分けると「Webサイトに埋め込まれたスクリプトを通じて行われる手口」と「マルウェアやクラウド環境の不備を突いて行われる手口」の2つです。前者は一時期流行しましたが現在は限定的で、後者が主流となっています。
Webスクリプト埋め込み型(現在は限定的)
かつて流行した手口の一つが、Webサイトに不正なマイニング用スクリプトを埋め込む攻撃です。ユーザーがそのサイトを閲覧すると、ブラウザ上でスクリプトが自動的に実行され、PCのCPUリソースがマイニングに利用されてしまいます。
当初は、ブラウザを閉じればマイニングは停止しましたが、攻撃者がウィンドウを目に見えない位置に隠して処理を継続させる手口も確認されていました。
しかし、その後ブラウザベンダー(ChromeやFirefoxなど)による対策や、NoCoinやuBlock Originといったセキュリティ拡張機能の普及により、この方法は現在ではほとんど通用しなくなっています。
そのため現在では、この「Webスクリプト型」は限定的にしか確認されず、主流はマルウェア感染型やクラウド環境を狙った攻撃に移行しています。
マルウェア感染型(現在の主流)
フィッシングメールの添付ファイルや、不正なソフトウェアを通じてPCにマイニング用マルウェア(クリプトマイナー)を仕込む手口です。一度感染すると、PCが起動している間は常にバックグラウンドでマイニングが続きます。
このタイプのマルウェアは、自身を検知されにくくするために、アンチウイルスやEDR(Endpoint Detection and Response)といったセキュリティツールを無効化する機能を持つものもあります。
実際に2024年に報告されたクリプトジャッキングの「GhostEngine」や、長期間潜伏していた「StripedFly」などは、セキュリティ機能を停止させて活動を隠蔽していたことが確認されています。
クラウド侵害型(クラウドインフラ運用企業向け)
この手口は、GmailやSlackといった一般的なクラウドサービスを利用するだけの企業には関係ありません。対象となるのは、AWSやAzure、GCPといったクラウド基盤上で自社のECサイトや社内システムを構築・運用している企業です。
設定不備やセキュリティ管理の甘さを突かれると、クラウド上のサーバー資源が攻撃者に乗っ取られてマイニングに利用されてしまうため、注意してください。
代表的な例としては以下のようなものがあります。
- KubernetesやDockerの管理画面の公開:認証がない状態で外部からアクセス可能になってしまい、不正に利用される。
- クラウドAPIキーの流出:GitHubなどに誤って公開した認証情報を使って侵入される。
- 仮想マシンやサーバーの脆弱性放置:パッチが当たっていない環境を突かれて乗っ取られる。
特に自社サービスをクラウドで提供している企業は、このクラウド侵害型クリプトジャッキングに注意が必要です。
クリプトジャッキングで現れる症状
クリプトジャッキングは、ランサムウェアのように派手な表示や金銭要求があるわけではなく、気付かれにくいのが特徴です。ただし、注意深く観察すればいくつかの兆候から被害を推測できます。
PCやサーバーの動作が異常に重くなる
クリプトジャッキングの最も一般的な症状は、PCやサーバーのパフォーマンス低下です。 通常の業務しか行っていないのに動作が極端に遅くなる、アプリケーションが頻繁にフリーズする、といった現象が見られます。タスクマネージャーやアクティビティモニターで「特に作業していないのにCPU使用率が常に高い」場合は注意が必要です。
異常な発熱や冷却ファンの常時稼働
マイニングはCPUやGPUに高い負荷をかけ続けるため、PCやサーバーが常に熱を持つようになります。ノートPCがいつも熱い、ファンが以前より大きな音で回り続けるといった症状は、クリプトジャッキングの可能性があります。
電気代やクラウド利用料の高騰
複数のPCが被害に遭うと消費電力が目に見えて増え、電気代が高騰します。またクラウド環境が乗っ取られた場合、CPUリソースを大量に消費するため、クラウド利用料が数倍に膨らむ事例も報告されています。
セキュリティツールの異常
一部のクリプトマイナーは、検知を免れるためにアンチウイルスやEDRを停止させる機能を持ちます。セキュリティソフトが意図せず無効化されている、ログが残っていないといった異常も重要なサインです。
関連記事:
マイニングマルウェア vs ランサムウェア 企業にとってどちらが脅威?
放置するとどうなる?(被害リスク)
クリプトジャッキングは派手な被害を伴わないため軽視されがちですが、長期間にわたって放置すると企業に深刻なダメージを与えます。ここでは代表的なリスクを整理します。
業務効率の低下
PCやサーバーの処理能力がマイニングに奪われることで、業務システムやアプリケーションの動作が著しく遅くなります。社員が日常業務に支障をきたし、生産性が落ちるだけでなく、顧客対応やサービス提供に遅延が生じる恐れもあります。
コスト増加
CPUやGPUが常に高負荷状態になるため、電気代が上昇します。さらにクラウド環境が標的となった場合は、短期間でクラウド利用料が数倍に膨れ上がるケースもあり、直接的な金銭的損失につながります。
ハードウェア寿命の短縮
システムに高負荷がかかり続けると、CPUやGPUが過熱状態になりやすく、冷却ファンも常時稼働します。結果としてデバイスの故障や寿命短縮を招き、ハードウェアの更新コストを押し上げる要因となります。
情報漏洩や追加攻撃の可能性
一部のマイニングマルウェアは、単に計算資源を奪うだけでなく、バックドア機能やスパイ機能を備えている場合があります。このような機能を悪用されると、社内ネットワークを足がかりにランサムウェアなど別の攻撃へと発展する恐れもあります。
実際に起きた被害事例
クリプトジャッキングは「動作が遅くなる」程度に見えますが、企業にとっては大きな損害を引き起こすことがあります。ここでは代表的な2つの事例を紹介します。
クラウド環境の設定不備を突かれた事例
2018年、米国のある自動車メーカーが利用していたクラウドサーバーが、クリプトジャッキングの被害に遭いました。原因は、クラウドの設定不備により、パスワードで保護されていない管理画面が外部に公開されていたことでした。
攻撃者はこの脆弱性を悪用して侵入し、企業のクラウド環境で不正に暗号資産のマイニングを行っていました。
この事例は、クラウド利用時の適切なセキュリティ設定の重要性を示す教訓となっています。
公式サイトが改ざんされた中国大手スマートフォンメーカーの事例
2018年、中国の大手スマートフォンメーカーの日本法人公式サイトが改ざんされ、閲覧者のPCリソースを利用してマイニングを行うスクリプトが埋め込まれる事件がありました。サイトにアクセスしたユーザーから「PCの動作が重くなる」との報告が相次ぎ、問題が発覚しました。 企業の公式サイトという信頼性の高いWebサイトであっても、攻撃の標的となりうることを示す事例です。
企業が取るべき対策
クリプトジャッキングは派手なサイバー攻撃ではありませんが、業務効率やコストに直結するため無視できません。企業としては、技術的な対策と従業員の意識向上の両面から予防を進めることが重要です。
従業員教育
マルウェア感染型の多くは、従業員が不用意に不正なメールの添付ファイルを開いたり、怪しいWebサイトにアクセスしたりすることがきっかけで始まります。「知らない送信元のメールは開かない」「業務に関係のないサイトにはアクセスしない」といった基本的なルールを徹底するため、定期的なセキュリティ教育を行いましょう。
ソフトウェア更新
OSやブラウザ、プラグイン、クラウド環境の管理ツールなど、攻撃者が狙うのは既知の脆弱性です。提供元から配布されるセキュリティパッチを速やかに適用し、システムを常に最新の状態に保つことが被害防止につながります。
更新作業は自動化を活用すると、運用負担を減らしながら対応漏れを防ぐことができます。
EDRや監視の活用
従来のアンチウイルスでは検知が難しい、ファイルレス型や検知回避機能を持つマイニングマルウェアも存在します。EDR(Endpoint Detection and Response)を導入し、PCやサーバーのプロセス挙動を監視することで、通常とは異なる不審な動きを早期に発見できます。
また、クラウド環境を利用する企業では利用状況をモニタリングし、リソース消費や請求額の異常を検知する仕組みを取り入れることが望ましいです。
WAFの導入(クラウドインフラ運用企業向け)
自社でWebサービスを運営している場合は、WAF(Web Application Firewall)の導入により、サイト改ざんや不正スクリプトの埋め込みを防ぐことが有効です。特にECサイトやSaaS提供事業者のように、クラウドインフラを自社で運用している企業では、クリプトジャッキングに限らず幅広い攻撃対策として検討する価値があります。
※補足:かつてはWebスクリプト型のクリプトジャッキングが多発していたため、広告ブロッカー拡張機能(NoCoinやuBlock Originなど)が有効とされていました。しかし現在はマルウェア感染やクラウド侵害が主流であり、広告ブロッカーの効果は限定的です。過信せず補助的な手段として捉えるのが適切です。
参考記事:
中小企業がサイバー攻撃の対象になる理由とは?対策方法も解説
まとめ
クリプトジャッキングは、目立った金銭要求やデータ破壊を伴わないため軽視されがちですが、放置すると業務効率の低下やコスト増加、さらには情報漏洩や追加攻撃につながる恐れがあります。特にマルウェア感染型やクラウド侵害型といった現在の主流手口は、発見が遅れるほど企業の負担を大きくします。
一方で、基本的なセキュリティ対策を徹底すれば多くの被害は防げます。
従業員教育やソフトウェア更新、EDRによる監視を土台とし、自社でWebサービスを運営している場合はWAFの導入も検討するとよいでしょう。
広告ブロッカーは補助的な手段として位置づけ、過信しないことが重要です。
自社のPCやサーバーに不審な点がないか定期的に確認し、クリプトジャッキングを「小さな異常のうちに気づける体制」を整えることが、最終的に企業の資産と信頼を守ることにつながります。
サイバー攻撃は年々多様化・巧妙化しています。
万一の被害に備えるには技術的な対策に加え、サイバー保険の活用もご検討ください。
▶ サイバー保険 一括見積はこちら(無料)
当サイトを運営する「ファーストプレイス」では、
大手5社のサイバー保険の保険料を、無料で一括比較・見積りいただけます。
- 東京海上日動火災保険株式会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン株式会社
- あいおいニッセイ同和損害保険株式会社
- AIG損害保険株式会社
ECサイトやWebサービスを提供している企業様は、IT業務を提供する企業様向けの「IT業務用サイバー保険一括見積サイト」もご検討ください。
参考サイト: ESET「クリプトジャッキング」
elastic「Invisible miners: unveiling GHOSTENGINE’s crypto mining operations」
