クリプトジャッキングとは？ 10分でわかりやすく解説

UnsplashのShubham Dhageが撮影した写真

クリプトジャッキングとは、利用者や組織の許可なくPC、サーバー、スマートフォン、クラウド環境などの計算資源を使い、暗号資産のマイニングを行わせるサイバー攻撃です。端末のCPU使用率上昇、ファンの異常動作、電力消費の増加だけでなく、クラウド利用料の急増、サービス性能の低下、侵害経路の放置につながる場合があります。対策では、Webサイト改ざんの防止、サードパーティスクリプト管理、端末監視、クラウド設定監査、ログ分析を組み合わせます。

クリプトジャッキングとは

クリプトジャッキングの定義

クリプトジャッキングは、攻撃者が他者の計算資源を無断で使い、暗号資産をマイニングする行為です。MITRE ATT&CKでは、攻撃者が侵害したシステムのリソースを使って負荷の高い処理を実行する行為を「Resource Hijacking」として整理しており、暗号資産採掘はその代表例です。

被害対象は、個人のPCやスマートフォンに限られません。企業のWebサーバー、仮想サーバー、Kubernetesクラスター、コンテナ環境、クラウドアカウント、CI/CD環境が悪用される場合もあります。攻撃者にとっては、自分でマイニング設備や電力を用意せず、他者のリソースを収益化できる点が動機になります。

クリプトジャッキングの主な種類

クリプトジャッキングの仕組み

典型的な流れは次のとおりです。

1. 攻撃者がマイニング用スクリプト、マルウェア、コンテナイメージを用意する
2. 改ざんサイト、不正広告、フィッシング詐欺、ソフトウェアの脆弱性、クラウド設定不備などから侵入または実行経路を作る
3. 端末、サーバー、クラウド環境でCPUやGPUを使ったマイニング処理を実行する
4. マイニング結果が攻撃者のウォレットやマイニングプールに送られる
5. 攻撃者は検知を避けるため、CPU使用率の制限、プロセス名の偽装、難読化、再起動後の自動実行などを使う場合がある

ブラウザ型は利用者の閲覧中だけ発生することがありますが、マルウェア型やクラウド型では常駐化、権限昇格、横展開が発生する場合があります。単なる端末負荷の問題として扱うと、侵害経路や追加マルウェアの存在を見落とします。

攻撃者の目的

目的は、暗号資産の採掘による金銭的利益です。正規のマイニングでは、計算機、電力、冷却、クラウド利用料などの費用が発生します。クリプトジャッキングでは、これらの費用を被害者側に負わせ、攻撃者だけが収益を得ます。

副次的な影響として、システム性能低下、クラウド料金の増加、サービス停止、端末寿命の短縮が起こります。また、侵入に使われた脆弱性や認証情報の漏えいが残っていれば、ランサムウェア、情報窃取、Botnet化につながる可能性もあります。

クリプトジャッキングによる被害

システム性能への影響

マイニング処理は計算資源を大量に使います。端末では、CPU使用率の高止まり、ファンの常時稼働、発熱、動作遅延、バッテリー消耗が発生します。サーバーでは、レスポンス遅延、ジョブ処理の遅延、他サービスへの影響が出ます。

クラウド環境では、攻撃者がインスタンス、コンテナ、サーバーレス関数、GPUリソースを悪用することで、利用料金が想定外に増える場合があります。料金アラートや利用量監視がないと、請求時まで異常に気付けません。

セキュリティ上の影響

クリプトジャッキングは、マイニングだけで完結するとは限りません。攻撃者がWebサイトへスクリプトを埋め込めた場合、同じ経路で別のファイルレスマルウェアや認証情報窃取コードを投入できる可能性があります。クラウド環境へ入られた場合は、権限設定、APIキー、サービスアカウント、ストレージ、ログの改ざんも確認対象になります。

そのため、CPU負荷の解消だけで対応を終えてはいけません。侵入経路、改ざん範囲、認証情報の悪用有無、外部通信、横展開、永続化の有無を調査します。

利用者への影響

利用者側では、端末の発熱、バッテリー消耗、通信量増加、操作遅延が発生します。ノートPCやスマートフォンでは、発熱による性能低下やバッテリー劣化が目立ちやすくなります。

Webサイト運営者が侵害に気付かず、閲覧者の端末でマイニング処理が走る状態を放置すると、利用者の信頼を失います。ユーザーの同意なく計算資源を使う行為は、正当な広告収益化やポイント付与型サービスとは別の不正行為です。

企業への影響

企業にとっての被害は、端末やサーバーの負荷だけではありません。Webサイト改ざんが公表されれば、セキュリティ管理の不備として受け止められます。クラウド環境の悪用では、利用料金、調査費用、復旧費用、監査対応、顧客説明が発生します。

また、暗号資産採掘に使われた環境が他の攻撃にも使われていれば、情報漏えいや不正アクセスの調査へ発展します。クリプトジャッキングは軽微な迷惑行為ではなく、侵害の兆候として扱います。

クリプトジャッキングの主な侵入経路

Webサイト改ざんと不正広告

攻撃者は、脆弱なCMS、古いプラグイン、漏えいした管理者認証情報、クロスサイトスクリプティングなどを使い、Webページへマイニングスクリプトを埋め込む場合があります。また、不正広告や広告配信経路を悪用し、閲覧者のブラウザでスクリプトを実行させる場合もあります。

Webサイト運営者は、ページ本文だけでなく、タグマネージャー、広告タグ、アクセス解析タグ、外部ウィジェット、CDN経由のスクリプトも確認します。

マルウェア配布

メール添付、偽ソフトウェア、海賊版ソフト、不正な更新通知、ドライブバイダウンロード攻撃を通じて、端末やサーバーへマイニングマルウェアが入る場合があります。攻撃者は検知を避けるため、プロセス名を正規ソフトに似せたり、負荷を一定以下に抑えたりします。

端末側では、EDR、EPP、メールセキュリティ、Webフィルタリング、DNS監視を組み合わせ、マイニングプールへの通信や不審なプロセス起動を確認します。

クラウドとコンテナ環境の設定不備

クラウド環境では、公開された管理画面、過剰権限のAPIキー、脆弱なコンテナイメージ、認証情報の漏えい、Kubernetesクラスターの設定不備が悪用される場合があります。攻撃者は、コンテナを起動してマイニング処理を行い、負荷が高いインスタンスやGPUを狙うことがあります。

コンテナセキュリティでは、イメージスキャン、実行権限の制限、不要な特権コンテナの禁止、クラウド監査ログの確認、リソース使用量のアラートを設定します。

クリプトジャッキング対策

Webサイト管理者の対策

Webサイト管理者は、閲覧者のブラウザで不正スクリプトを実行させないために、サイト改ざんと外部スクリプトの管理を重点的に行います。

• CMS、プラグイン、テーマ、サーバーソフトウェアを更新する
• 管理画面に多要素認証、IP制限、強固なパスワード管理を適用する
• タグマネージャー、広告タグ、アクセス解析、外部ウィジェットの読み込み元を棚卸しする
• 不要な外部スクリプトを削除し、変更時はレビューする
• Web改ざん検知、ファイル整合性監視、管理者操作ログを確認する

CSPとWAFの使い分け

CSP（Content Security Policy）は、ブラウザに対して読み込みを許可するスクリプトや接続先を制御する仕組みです。許可していない外部ドメインからのスクリプト実行や通信を抑制できるため、改ざん時の被害を狭める追加防御になります。

WAFは、Webアプリケーションへの不審なリクエストを検知・遮断します。脆弱性悪用や改ざんの抑止には役立ちますが、すでに正規タグ管理画面から不正スクリプトが入った場合など、WAFだけでは防げないケースがあります。CSP、変更管理、アカウント保護、ログ監視と併用します。

端末・サーバー側の対策

• EDRやEPPで、不審なプロセス、権限昇格、永続化、マイニングプール通信を検知する
• IPS、DNSフィルタリング、プロキシで不審な接続先を監視する
• CPU、GPU、メモリ、ネットワーク、クラウド利用料金の異常をアラート化する
• 不要なサービス、古いプラグイン、未使用アカウントを削除する
• 脆弱性情報を確認し、実際に悪用されている脆弱性から優先して修正する

クラウド環境の対策

クラウドでは、リソース作成権限と課金の監視が重要です。攻撃者がインスタンスやコンテナを大量に起動すると、短期間で費用が増えます。

• 管理者権限、APIキー、サービスアカウントの権限を最小化する
• クラウド監査ログ、コンテナ起動ログ、IAM変更履歴を保管する
• リソース作成数、CPU使用量、GPU使用量、リージョン別利用量、請求額のしきい値を設定する
• 公開ストレージ、公開管理画面、未認証APIを定期的に確認する
• CSPMやCNAPPを使い、設定不備と実行時リスクを把握する

ユーザーができる対策

個人ユーザーや一般従業員は、端末の異常に気付いた時点で早めに確認します。

• OS、ブラウザ、拡張機能、セキュリティソフトを更新する
• 不要なブラウザ拡張機能を削除する
• 不審な広告、メールリンク、偽の更新通知を開かない
• タスクマネージャーやアクティビティモニタでCPU使用率の高いプロセスを確認する
• 異常が続く場合は、端末をネットワークから切り離し、管理者へ報告する

ブラウザ拡張機能や広告ブロック機能は補助策です。信頼できない拡張機能を追加すると、別の情報漏えいリスクが生じます。組織端末では、利用者判断で拡張機能を増やすのではなく、管理者が許可したものに限定します。

検知とインシデント対応

疑うべき兆候

• ブラウザや特定プロセスのCPU使用率が高い状態で続く
• サーバーやコンテナのCPU使用量が業務ピークと関係なく上昇する
• クラウド利用料金や新規リソース作成数が急増する
• マイニングプール、未知の外部ドメイン、短期間で変わる接続先への通信がある
• Webサイトに見覚えのないスクリプト、タグ、難読化コードが追加されている

初動対応

クリプトジャッキングが疑われる場合は、負荷を下げる作業だけで終わらせず、侵害有無を確認します。

1. 該当端末、サーバー、コンテナ、クラウドアカウントを特定する
2. 必要に応じてネットワークから隔離し、ログと設定を保全する
3. 不審なプロセス、スクリプト、コンテナ、Cron、サービス、スタートアップ項目を確認する
4. 認証情報、APIキー、SSH鍵、管理者アカウントの悪用有無を確認する
5. Webサイトの場合は、改ざん箇所、タグ管理権限、管理者ログ、外部スクリプトを確認する
6. 復旧後に、侵入経路、再発防止策、検知ルール、権限設定を更新する

SOC・CSIRTとの連携

企業では、SOCやCSIRTと連携し、検知から封じ込め、復旧、再発防止までの役割を分けます。高負荷プロセスを停止するだけでは、認証情報の漏えいや永続化が残る場合があります。

対応後は、攻撃者が使った経路、検知できたログ、検知できなかった理由、復旧に要した時間を記録します。次回の検知ルール、クラウド権限、Webサイト変更管理へ反映します。

クリプトジャッキングの動向と今後

ブラウザ型からクラウド型まで広がる攻撃対象

過去には、Webページへマイニングスクリプトを埋め込むブラウザ型の手口が注目されました。現在もWebサイト改ざんは警戒対象ですが、企業ではクラウド、コンテナ、Kubernetes、公開サーバー、管理者認証情報を狙う手口にも注意が必要です。

クラウドやコンテナ環境は、攻撃者にとって計算資源を確保しやすい対象です。利用料金が従量課金であるため、侵害に気付くまでの時間が長いほど金銭的被害が増えます。

検知技術の方向性

検知では、既知のマイニングスクリプト名やハッシュだけでなく、プロセス挙動、CPU使用率、通信先、クラウド利用量、コンテナ起動履歴を組み合わせます。単一のアラートだけで判断せず、複数のログを突き合わせます。

XDRやSIEMを利用する場合は、端末、メール、Web、DNS、クラウド、コンテナのログを関連付けます。目標は、マイニング処理の停止だけではなく、侵入経路と影響範囲の確定です。

暗号資産の種類に関する注意点

クリプトジャッキングでは、CPUで採掘しやすい暗号資産が選ばれやすい傾向があります。過去にはMoneroが多く言及されました。一方で、攻撃者は収益性、検知回避、利用できる計算資源に応じて手口を変えます。

そのため、防御側は特定の暗号資産名だけに注目するのではなく、マイニングプール通信、異常な計算資源利用、不審なプロセス、クラウド料金の増加を監視します。

まとめ

クリプトジャッキングは、他者の計算資源を無断で使い、暗号資産をマイニングする攻撃です。被害は端末の動作遅延だけではなく、クラウド費用の増加、サーバー性能低下、Webサイト改ざん、認証情報漏えい、追加攻撃の足掛かりに及びます。

対策では、Webサイト改ざん対策、CSP、WAF、サードパーティスクリプト管理、EDR、DNS・プロキシ監視、クラウド監査ログ、コンテナセキュリティを組み合わせます。疑わしい負荷を見つけた場合は、プロセス停止だけで終えず、侵入経路、認証情報、外部通信、改ざん範囲を確認します。

参考資料

• CISA「Defending Against Illicit Cryptocurrency Mining Activity」
• MITRE ATT&CK「Resource Hijacking, Technique T1496」
• CISA「Compute Hijacking (T1496.001)」
• Microsoft Security Blog「Understanding the threat landscape for Kubernetes and containerized assets」
• OWASP「Content Security Policy Cheat Sheet」

クリプトジャッキングに関するよくある質問（FAQ）