クリプトジャッキングを初心者でも分かりやすく解説

用語

パソコンが突然遅くなり、ファンがうるさく回り続け、電気代が急増した──それはクリプトジャッキングかもしれません。攻撃者があなたのデバイスのCPUやGPUの処理能力を無断で使用し、仮想通貨(主にMonero)のマイニングを行います。2018年には、Tesla社のAWSクラウド環境が侵入され、LA Timesなどのニュースサイトでは広告を通じて数百万人の訪問者がマイニングをさせられました。ランサムウェアと異なり、クリプトジャッキングは被害者に気づかれにくく、数ヶ月から数年間にわたってデバイスを搾取し続けます。パソコン・スマホの危険(端末の脅威)として、デバイスの著しい性能低下、電気代の急増、ハードウェアの物理的損傷、企業ではクラウド利用料の爆発的増加など、地味ながら深刻な被害をもたらします。この記事では、クリプトジャッキングの仕組みと種類、実際の被害事例、そしてセキュリティソフトやブラウザ拡張機能などの包括的なセキュリティ対策まで、初心者にも分かりやすく解説します。

クリプトジャッキングとは?

クリプトジャッキングとは、攻撃者が他人のコンピュータやスマートフォンのCPUやGPUの処理能力を無断で使用し、仮想通貨(暗号資産)のマイニング(採掘)を行う攻撃です。パソコン・スマホの危険(端末の脅威)として、デバイスのリソースを密かに盗み、電気代や性能低下という形で被害者に負担を強いる巧妙なサイバー攻撃です。
クリプトジャッキングは、2017年頃から急激に増加しました。ランサムウェアと異なり、被害者に気づかれにくく、長期間にわたって利益を得られるため、攻撃者にとって魅力的な手法となっています。ランサムウェアは一度の攻撃で身代金を要求しますが、クリプトジャッキングは数ヶ月から数年間、密かにデバイスのリソースを搾取し続けることができます。
クリプトジャッキングには大きく分けて2つのタイプがあります。「マルウェアベース型」は、被害者のデバイスにマイニングマルウェアをインストールし、バックグラウンドで継続的にマイニングを実行します。「ブラウザベース型」は、Webサイトに埋め込まれたJavaScriptコードにより、訪問者のブラウザ上でマイニングを実行します。サイトを開いている間だけマイニングされ、閉じれば停止しますが、複数のユーザーから少しずつリソースを奪うことで、攻撃者は大きな利益を得ます。
主にマイニングされる仮想通貨は、Monero(モネロ)が最も多く使われます。Moneroは匿名性が高く、一般的なCPUでもマイニングが可能で、取引が追跡されにくいため、クリプトジャッキングに適しています。BitcoinはASICと呼ばれる専用ハードウェアが必要なため、通常のパソコンでは効率的にマイニングできず、クリプトジャッキングには使われにくくなっています。
パソコン・スマホの危険(端末の脅威)として、クリプトジャッキングは被害者に直接的な金銭的損害を与えませんが、デバイスの性能低下、電気代の増加、バッテリーの劣化、冷却ファンの故障など、間接的な被害をもたらします。企業では、サーバーやクラウドリソースがクリプトジャッキングされると、膨大な電気代とクラウド利用料が発生します。

クリプトジャッキングを簡単に言うと?

あなたの車を、あなたが寝ている間に誰かが無断で使って配達のアルバイトをし、その報酬を自分のものにする状況に似ています。泥棒はあなたの車の鍵を密かにコピーし、毎晩あなたが寝た後に車を使って仕事をします。朝にはきちんと元の場所に戻しておくので、あなたは最初は気づきません。しかし、ガソリンがやたらと減る、走行距離が増えている、エンジンの調子が悪くなるなどの異変に気づきます。ガソリン代はあなたが負担し、車の劣化も早まりますが、報酬はすべて泥棒のものです。
デジタルの世界では、攻撃者があなたのパソコンやスマートフォンの処理能力を無断で使用し、仮想通貨のマイニング(採掘)を行います。あなたのデバイスが24時間働き続け、その結果得られる仮想通貨は攻撃者の口座に入ります。あなたは、デバイスの動作が遅い、電気代が高い、バッテリーの減りが早いなどの被害を受けますが、攻撃者は利益を得ます。パソコン・スマホの危険(端末の脅威)として、気づかれにくく、長期間継続する「静かな泥棒」のような攻撃です。

クリプトジャッキングで発生する被害は?

クリプトジャッキングによる被害は、ランサムウェアのような派手な被害ではありませんが、長期間にわたる地味で継続的な被害が蓄積します。パソコン・スマホの危険(端末の脅威)として、個人にも企業にも深刻な影響を与えます。

クリプトジャッキングで発生する直接的被害

デバイスの著しい性能低下と業務への影響

クリプトジャッキングマルウェアは、CPUやGPUのリソースを最大限に使用するため、デバイスの動作が極端に遅くなります。通常の作業でパソコンが固まる、アプリケーションの起動に時間がかかる、動画がカクカクする、ゲームができなくなるなど、日常的な使用に深刻な支障が出ます。企業では、従業員の生産性が大幅に低下し、顧客対応が遅れ、締切に間に合わないなど、ビジネスに直接的な影響が出ます。デザイナーやエンジニアが使う高性能なワークステーションほど、クリプトジャッキングの標的になりやすく、クリエイティブな作業が困難になります。

電気代の急激な増加

クリプトジャッキングされたデバイスは、CPUやGPUが常にフル稼働しているため、消費電力が劇的に増加します。個人の家庭でも、月の電気代が数千円から数万円増加することがあります。企業のサーバールームやデータセンターがクリプトジャッキングされた場合、電気代が通常の2倍から3倍に跳ね上がり、月数十万円から数百万円の追加コストが発生します。クラウドサービスを利用している企業では、CPU使用率に応じて課金されるため、クリプトジャッキングにより利用料が急増し、予算を大幅に超過します。2018年、ある企業のAWSアカウントがクリプトジャッキングされ、数週間で約10万ドル(約1,000万円)の請求が来た事例が報告されています。

ハードウェアの物理的な損傷と寿命短縮

CPUやGPUが長時間フル稼働すると、過熱によりハードウェアが物理的に損傷します。冷却ファンが常に最大速度で回り続けて故障する、マザーボードのコンデンサが過熱で膨張・破裂する、CPUやGPUの寿命が通常の半分以下になるなど、修理や交換のコストが発生します。スマートフォンやノートパソコンでは、バッテリーが高温に晒され続けることで急速に劣化し、数ヶ月で交換が必要になります。特に、薄型のノートパソコンやスマートフォンは冷却性能が低いため、クリプトジャッキングによる物理的ダメージが深刻です。デバイスの買い替えサイクルが大幅に短縮され、長期的なコストが増大します。

クリプトジャッキングで発生する間接的被害

セキュリティ防御の低下と二次攻撃のリスク

クリプトジャッキングマルウェアが侵入できたということは、デバイスのセキュリティに脆弱性があることを意味します。同じ脆弱性を使って、ランサムウェアやスパイウェアなどのより危険なマルウェアが侵入する可能性があります。また、クリプトジャッキングマルウェア自体がバックドアを含んでおり、攻撃者が後で他の目的でデバイスにアクセスできる状態になっていることもあります。企業ネットワークでは、一台のデバイスがクリプトジャッキングされると、そこを起点に他のデバイスにも拡散し、ネットワーク全体が感染します。

検知と駆除のコストと時間

クリプトジャッキングは気づかれにくいため、発見が遅れます。異常に気づいてからも、原因の特定、マルウェアの特定、完全な駆除、再発防止策の実施など、多くの時間とリソースが必要です。企業では、IT部門が調査と対応に追われ、通常業務が停滞します。専門のセキュリティ業者に依頼すれば、数十万円から数百万円のコストがかかります。感染したデバイスが多数ある場合、すべてを調査して駆除するには数週間から数ヶ月かかることもあります。

ブランドイメージの悪化と法的リスク

企業のWebサイトにクリプトジャッキングスクリプトが埋め込まれていた場合、訪問者のデバイスリソースを無断で使用したことになり、企業の評判が損なわれます。ニュースサイトやECサイトなど、多数の訪問者がいるサイトでは、大規模なクリプトジャッキングとして報道され、「顧客のデバイスを悪用した」と非難されます。一部の国では、明示的な同意なく訪問者のリソースを使用することが違法とされており、罰金や訴訟のリスクがあります。顧客離れ、広告主の撤退、パートナー企業からの信頼失墜など、長期的なビジネスへの影響が出ます。

クリプトジャッキングの種類と手法

クリプトジャッキングは、実行方法によっていくつかの種類に分類され、それぞれ異なる特徴と対策が必要です。

マルウェアベース型クリプトジャッキング

最も持続的で被害が大きいタイプです。攻撃者は、フィッシングメールの添付ファイル、偽のソフトウェアアップデート、脆弱性の悪用、感染したUSBメモリなどを通じて、マイニングマルウェアをデバイスにインストールします。
一度インストールされると、マルウェアはバックグラウンドで常に動作し、デバイスの起動時に自動的に開始されるよう設定されます。タスクマネージャーや Activity Monitor で確認しても、正規のプロセスに偽装していたり、名前を変えていたりして、見つけにくくなっています。
高度なマルウェアは、ユーザーがパソコンを使い始めると一時的にマイニングを停止または減速し、アイドル状態になると再びフル稼働するなど、検知を避ける工夫をしています。また、セキュリティソフトのプロセスを監視し、スキャンが実行されると一時的に活動を停止することもあります。

ブラウザベース型クリプトジャッキング

Webサイトに埋め込まれたJavaScriptコードにより、訪問者のブラウザ上でマイニングを実行します。Coinhiveは2017年から2019年まで提供されていた最も有名なブラウザベースのマイニングサービスで、広告の代わりに訪問者のCPUリソースを使用してサイト運営者に収益をもたらす仕組みでした。
正規の利用方法もありましたが、多くの悪意のある使われ方がされました。攻撃者がWebサイトをハッキングしてマイニングスクリプトを埋め込む、ポップアンダー広告(背後に隠れた広告ウィンドウ)でユーザーが気づかないうちにマイニングを実行する、偽のビデオストリーミングサイトで動画を見せる代わりにマイニングさせるなどの手法が使われました。
ブラウザを閉じればマイニングは停止しますが、ポップアンダー広告の場合、ユーザーが気づかずに何日も広告ウィンドウを開いたままにしていることがあります。また、ブラウザを閉じても、タスクトレイに最小化されて隠れ続け、マイニングを継続する悪質なケースもありました。

ファイルレス型クリプトジャッキング

最近増加している高度な手法で、ディスクにファイルを残さず、メモリ内でのみ動作します。PowerShellスクリプトやWMI(Windows Management Instrumentation)などのOS標準ツールを悪用し、マイニングコードをメモリに展開して実行します。
ファイルが残らないため、従来のウイルススキャンでは検知できません。デバイスを再起動すればマイニングは停止しますが、再起動後に再び自動的にメモリに展開される仕組みが埋め込まれていることもあります。

サーバー・クラウド標的型クリプトジャッキング

企業のサーバーやクラウド環境を標的とした攻撃です。Docker、Kubernetes、AWSなどの設定ミスや脆弱性を悪用して侵入し、大量のコンテナやインスタンスを起動してマイニングします。
一般的なパソコンよりも遥かに高性能なサーバーやクラウドリソースを使用できるため、攻撃者の利益が大きくなります。企業にとっては、クラウド利用料が急増するという形で被害が顕在化します。

モバイルデバイス標的型クリプトジャッキング

スマートフォンやタブレットを標的としたクリプトジャッキングも増加しています。偽のアプリをGoogle PlayストアやApp Storeに公開し、ダウンロードしたユーザーのデバイスでマイニングを実行します。
モバイルデバイスはパソコンより処理能力が低いため、一台あたりの利益は小さいですが、世界中の数百万のユーザーからマイニングすれば、合計では大きな利益になります。バッテリーの急速な消耗と発熱により、ユーザーが異常に気づきやすいのが特徴です。

クリプトジャッキングの攻撃プロセス

クリプトジャッキングは、段階的に進行し、できるだけ長期間検知されないよう慎重に実行されます。

第1段階:侵入とマルウェアの展開

攻撃者は、様々な方法でデバイスにマイニングマルウェアを送り込みます。フィッシングメールで「請求書.pdf.exe」のような偽装ファイルを添付し、開かせます。偽のソフトウェアアップデートや無料ソフトウェアに見せかけてダウンロードさせます。広告ネットワークを悪用したマルバタイジングで、広告をクリックしただけでマルウェアがダウンロードされるようにします。
Webサイトへの侵入では、CMSの脆弱性やパスワードの弱さを悪用して管理者アカウントを乗っ取り、サイトのコードにマイニングスクリプトを埋め込みます。

第2段階:永続化と隠蔽

マルウェアはデバイスに定着するため、自動起動の設定を行います。Windowsのスタートアップフォルダにショートカットを追加する、レジストリのRun キーに登録する、スケジュールタスクを作成する、システムサービスとして登録するなどの手法を使います。
検知を避けるため、正規のプロセス名に偽装します。「svchost.exe」「chrome.exe」「system」など、システムの重要なプロセスと同じ名前を使ったり、わずかに文字を変えた名前(svchostの代わりにsvchoost)を使ったりします。

第3段階:マイニングの開始

マイニングプールへの接続を確立し、マイニング作業を開始します。Moneroのような匿名性の高い仮想通貨を選択し、マイニングプールを通じて効率的にマイニングします。攻撃者のウォレットアドレスに収益が送られます。
CPU使用率を調整し、100%使用すると目立つため、70-80%程度に制限することがあります。また、ユーザーがパソコンを使い始めると自動的に使用率を下げ、アイドル状態になると上げるなど、適応的に動作します。

第4段階:長期的な搾取

できるだけ長期間、検知されずにマイニングを続けます。セキュリティソフトの更新を監視し、新しい定義ファイルで検知される可能性があれば、一時的に活動を停止します。ネットワークトラフィックを監視され にくくするため、暗号化通信を使用したり、通信量を分散させたりします。
バージョンアップ機能を持つマルウェアは、攻撃者のサーバーから新しいバージョンをダウンロードして自己更新し、セキュリティソフトの検知を回避し続けます。

第5段階:横展開

企業ネットワークでは、一台のデバイスから他のデバイスに拡散します。ネットワーク内の他のデバイスをスキャンし、脆弱性を持つデバイスを見つけて感染させます。EternalBlue(WannaCryが使用した脆弱性)などの既知の脆弱性を悪用します。
共有フォルダに感染ファイルをコピーし、他のユーザーが開くのを待ちます。管理者権限を奪取できれば、Active Directoryを悪用してネットワーク全体に一斉に配布することもあります。

クリプトジャッキングの実例

実際に発生したクリプトジャッキングの事例を見ることで、その深刻さと巧妙さを理解できます。

Tesla社のクラウド環境への侵入(2018年)

電気自動車メーカーのTesla社のAWSクラウド環境が、クリプトジャッキングの被害に遭いました。攻撃者は、パスワード保護されていないKubernetesダッシュボードを発見し、そこから侵入しました。
侵入後、攻撃者は大量のコンテナを起動し、Moneroのマイニングを開始しました。Teslaの機密データが保存されたAWS S3バケットにもアクセスできる状態でしたが、攻撃者の主な目的はマイニングだったようです。
この事件は、クラウド設定の不備がクリプトジャッキングの入口となることを示しました。Teslaは迅速に対応して被害を最小限に抑えましたが、もし発見が遅れていれば、巨額のクラウド利用料が発生していた可能性があります。

LA Timesなど主要メディアサイトへの攻撃(2018年)

Los Angeles Times、Chicago Tribune、New York Timesなど、複数の主要ニュースサイトが、広告ネットワークを通じてクリプトジャッキングスクリプトを配信してしまいました。
攻撃者は、これらのサイトが使用している広告配信ネットワークのアカウントを侵害し、広告の代わりにCoinhiveのマイニングスクリプトを配信しました。数百万人の訪問者が、ニュースを読んでいる間に知らずにマイニングをさせられました。
この事件は、信頼できる大手サイトでもクリプトジャッキングのリスクがあることを示し、広告ネットワークのセキュリティの重要性が認識されるきっかけとなりました。

英国水道局へのマルウェア感染(2019年)

英国の複数の水道局のシステムが、クリプトジャッキングマルウェアに感染しました。幸い、マイニング以外の悪意のある活動は確認されませんでしたが、重要インフラへの侵入経路が存在したことが問題視されました。
マルウェアは、水処理システムの監視・制御用コンピュータに感染していました。クリプトジャッキングが主目的でしたが、同じ脆弱性を使って産業制御システムを妨害する攻撃が可能だったことが、セキュリティ専門家から指摘されました。
この事件は、クリプトジャッキングが単なる迷惑行為にとどまらず、重要インフラのセキュリティ脆弱性を示す指標となることを明らかにしました。

Dockerコンテナを標的とした大規模攻撃(2020年)

セキュリティ企業の調査により、インターネット上に公開されている設定不備のDockerデーモンを標的とした、大規模なクリプトジャッキング攻撃が発見されました。
攻撃者は、認証なしでアクセスできるDockerデーモンを自動的にスキャンし、発見すると即座に侵入してマイニングコンテナを起動していました。数千のサーバーが感染し、企業に気づかれないまま数ヶ月間マイニングが続けられていました。
この攻撃は、コンテナ技術の普及に伴うセキュリティリスクと、デフォルト設定のまま使用する危険性を浮き彫りにしました。

YouTube広告を通じた大規模感染(2018年)

YouTubeの広告配信システムが悪用され、広告を見ているユーザーのブラウザでクリプトジャッキングが実行されました。攻撃者は、DoubleClick(Googleの広告配信プラットフォーム)に悪意のある広告を登録し、審査を通過させました。
広告には、見た目は普通の広告ですが、バックグラウンドでCoinhiveのマイニングスクリプトが実行されるコードが含まれていました。数百万人のYouTubeユーザーが、動画を見ている間に知らずにマイニングをさせられました。
Googleは迅速に対応して広告を削除しましたが、この事件は、大規模プラットフォームでさえクリプトジャッキングの配信経路になり得ることを示しました。

クリプトジャッキングの対策方法

クリプトジャッキングの対策は、予防、検知、駆除の三段階で考える必要があります。パソコン・スマホの危険(端末の脅威)として、多層的な防御が重要です。

予防的対策

セキュリティソフトの導入と更新

信頼できるセキュリティソフトをインストールし、常に最新の状態に保ちます。多くのセキュリティソフトは、既知のクリプトジャッキングマルウェアを検知・ブロックできます。リアルタイム保護を有効にし、定期的なフルスキャンを実施します。

ブラウザ拡張機能の利用

ブラウザベースのクリプトジャッキングを防ぐため、専用の拡張機能をインストールします。「NoCoin」「MinerBlock」「Adblock Plus」(マイニングスクリプトをブロックするフィルターを有効にする)などが有効です。これらはCoinhiveなどの既知のマイニングスクリプトをブロックします。

JavaScriptの管理

ブラウザの設定で、信頼できないサイトではJavaScriptを無効にする、またはNoScriptなどの拡張機能で選択的にJavaScriptを許可します。ただし、多くの正規サイトもJavaScriptを必要とするため、利便性とのバランスが必要です。

ソフトウェアとOSの更新

OSやアプリケーションを常に最新版にアップデートし、既知の脆弱性を修正します。クリプトジャッキングマルウェアの多くは、既知の脆弱性を悪用して侵入するため、パッチ適用が重要です。

不審なファイルやリンクを開かない

フィッシングメールの添付ファイル、不審なWebサイトからのダウンロード、信頼できないソースからのソフトウェアインストールを避けます。公式サイトからのみソフトウェアをダウンロードします。

クラウドとコンテナのセキュリティ強化

企業では、クラウドリソースやDockerコンテナのアクセス制御を厳格にします。不要なポートを閉じる、強力な認証を設定する、アクセスログを監視するなどの対策を実施します。

検知と監視

システムリソースの監視

タスクマネージャー(Windows)、Activity Monitor(Mac)、topコマンド(Linux)などで、CPU使用率を定期的に確認します。使用していないのにCPU使用率が異常に高い、見覚えのないプロセスが動作しているなどの兆候に注意します。

ネットワークトラフィックの監視

ファイアウォールやネットワーク監視ツールで、不審な外部通信を検知します。マイニングプールへの接続(stratum+tcp://プロトコルなど)を監視します。企業では、SIEM(セキュリティ情報イベント管理)システムで異常なトラフィックパターンを検知します。

電気代とクラウド利用料の監視

家庭では電気代、企業ではクラウド利用料を定期的に確認します。説明のつかない急激な増加があれば、クリプトジャッキングの可能性を疑います。

ブラウザのパフォーマンス監視

Webサイトを閲覧中にファンが急に回り始める、ブラウザが重くなるなどの兆候があれば、そのサイトでマイニングが実行されている可能性があります。すぐにタブを閉じます。

エンドポイント検知・対応(EDR)ツールの導入

企業では、EDRツールを導入して、エンドポイントでの異常な動作をリアルタイムで検知します。ファイルレス型の攻撃も検知できる高度なツールが推奨されます。

駆除と復旧

マルウェアの特定と削除

セキュリティソフトでフルスキャンを実行し、検出されたマルウェアを削除します。複数のセキュリティソフトで二次スキャンを実施することも有効です(ただし、常駐させるのは一つだけにします)。

ブラウザのクリーンアップ

ブラウザの拡張機能を確認し、不審なものを削除します。ブラウザのキャッシュとCookieをクリアします。必要に応じて、ブラウザを初期化またはリセットします。

システムの復元または再インストール

完全に駆除できたか不安な場合、OSのシステム復元機能で感染前の状態に戻す、またはOSを再インストールします。重要なデータは事前にバックアップしておきます(ただし、バックアップ自体がマルウェアを含んでいないことを確認します)。

パスワードの変更

クリプトジャッキングマルウェアがスパイウェア機能も持っている可能性があるため、駆除後はすべての重要なパスワードを変更します。

再発防止策の実施

なぜ感染したのかを分析し、脆弱性を修正します。従業員への教育、セキュリティポリシーの見直し、技術的対策の強化などを行います。

クリプトジャッキングの対策を簡単に言うと?

自宅に不法侵入者が入らないようにする多層的な対策に似ています。まず、玄関に頑丈な鍵をつけ(セキュリティソフト)、窓に格子をつけ(ブラウザ拡張機能)、防犯カメラを設置します(リソース監視)。定期的に家の周りをパトロールし、不審な人物がいないか確認します(定期スキャン)。
ドアや窓の鍵を最新の防犯性能が高いものに交換します(ソフトウェア更新)。知らない人から荷物が届いても安易に受け取りません(不審なファイルを開かない)。もし侵入者が入ってしまったら、すぐに警察を呼び(マルウェア駆除)、侵入経路を特定して塞ぎます(脆弱性の修正)。
電気やガスの使用量を定期的にチェックし、異常な増加があれば原因を調べます(電気代監視)。パソコン・スマホの危険(端末の脅威)として、予防と検知、そして迅速な対応を組み合わせることが重要です。

クリプトジャッキングに関連した攻撃手法

クリプトジャッキングは、パソコン・スマホの危険(端末の脅威)の中でも、他のマルウェアと密接に関連しています。
マルウェア感染は、クリプトジャッキングを実現する最も基本的な手段です。マルウェア感染では、フィッシングメール、偽のソフトウェアダウンロード、脆弱性の悪用などを通じて、デバイスに不正なプログラムをインストールします。クリプトジャッキングは、マルウェア感染によってインストールされるペイロード(実際の攻撃コード)の一種です。攻撃者はマルウェア感染の手法を使ってマイニングソフトウェアをインストールし、被害者のデバイスリソースを搾取します。マルウェア感染は侵入の手段であり、クリプトジャッキングはその目的の一つです。両者ともパソコン・スマホの危険(端末の脅威)として、セキュリティソフトの導入、ソフトウェアの更新、不審なファイルを開かないなどの基本的な対策が共通して有効です。
ボットネット感染は、大規模なクリプトジャッキングネットワークを構築する手法です。ボットネット感染では、攻撃者が多数のデバイスを遠隔操作し、一斉に命令を実行させます。クリプトジャッキングの文脈では、世界中の数千から数百万のデバイスをボットネット化し、すべてでマイニングを実行させることで、攻撃者は大きな利益を得ます。一台あたりのマイニング性能は低くても、数が集まれば莫大な処理能力になります。Smominruボットネットは、約52万台のWindowsマシンを感染させ、Moneroをマイニングしていました。ボットネット感染は大規模な組織化された攻撃であり、クリプトジャッキングはその収益源の一つです。両者ともパソコン・スマホの危険(端末の脅威)として、ネットワーク監視と異常検知が重要な対策となります。
ドライブバイダウンロード/マルバタイジングは、ブラウザベースのクリプトジャッキングを実現する主要な経路です。ドライブバイダウンロード/マルバタイジングでは、ユーザーがWebサイトを訪問したり広告を見たりするだけで、マルウェアがダウンロードされたり不正なスクリプトが実行されたりします。クリプトジャッキングの場合、広告ネットワークを悪用して多数のサイトに一斉にマイニングスクリプトを配信したり、脆弱性を悪用してブラウザにマイニングコードを注入したりします。ユーザーの明示的な操作なしに攻撃が成立するため、被害が広範囲に及びます。ドライブバイダウンロード/マルバタイジングは配信手段であり、クリプトジャッキングはその結果実行される攻撃です。両者ともパソコン・スマホの危険(端末の脅威)として、ブラウザとプラグインの更新、広告ブロッカーの使用、JavaScriptの管理が有効な対策となります。

クリプトジャッキングのよくある質問

ランサムウェアはデータを暗号化して身代金を要求する派手な攻撃で、すぐに被害者が気づきます。クリプトジャッキングは密かにデバイスのリソースを使用する静かな攻撃で、気づかれにくいのが特徴です。ランサムウェアは一度の攻撃で利益を得ますが、クリプトジャッキングは長期間継続して利益を得ます。

CPU使用率が異常に高い、デバイスが熱くなる、ファンが常に回っている、動作が遅い、電気代が急増した、バッテリーの減りが異常に早いなどの兆候があります。タスクマネージャーで不審なプロセスを確認し、セキュリティソフトでスキャンします。

ブラウザベース型のクリプトジャッキングは、通常ブラウザを閉じれば停止します。ただし、ポップアンダー広告やバックグラウンドのタブが残っている場合、マイニングが継続します。マルウェアベース型は、ブラウザを閉じても継続するため、完全な駆除が必要です。

はい、スマートフォンも標的になります。偽のアプリ、悪意のあるWebサイト、広告などを通じて感染します。兆候は、バッテリーの急速な消耗、デバイスの過熱、動作の遅さ、データ通信量の増加などです。公式ストアからのみアプリをダウンロードすることが重要です。

はい、他人のデバイスを無断で使用してマイニングすることは、多くの国で不正アクセスやコンピュータ詐欺として違法です。ただし、Webサイト運営者が訪問者に明示的に通知し、同意を得た上でマイニングする場合は、合法的なケースもあります(実際にはほとんど行われていません)。

クリプトジャッキングの主目的はマイニングですが、同じマルウェアにスパイウェア機能が含まれている場合、データが盗まれることもあります。また、クリプトジャッキングマルウェアが侵入できたということは、セキュリティに脆弱性があることを意味し、他の攻撃のリスクも高まります。

Coinhiveは、2017年から2019年まで提供されていたブラウザベースのマイニングサービスです。Webサイトに簡単に埋め込めるJavaScriptコードを提供し、訪問者のCPUでMoneroをマイニングできました。正規の広告代替手段として設計されましたが、多くの悪用事例があり、2019年にサービスを終了しました。

膨大な電気代とクラウド利用料の発生、サーバーパフォーマンスの低下によるサービス品質の悪化、ハードウェアの早期故障、セキュリティ脆弱性の露呈、評判の悪化などが影響します。AWS、Azure、GCPなどのクラウド環境では、数週間で数百万円の請求が来ることもあります。

完全に防ぐことは困難ですが、リスクを大幅に減らすことは可能です。セキュリティソフトの導入、ソフトウェアの更新、ブラウザ拡張機能の利用、リソース監視などを組み合わせることで、感染リスクと被害を最小限に抑えられます。

Moneroは、取引の送信者、受信者、金額がすべて匿名化される高い匿名性、一般的なCPUで効率的にマイニングできる仕様(ASICに対する耐性)、取引が追跡されにくいブロックチェーン設計などの特徴があり、クリプトジャッキングに最適だからです。

はい、信頼できる大手サイトでも、広告ネットワークの侵害、CMSの脆弱性、管理者アカウントの乗っ取りなどにより、クリプトジャッキングスクリプトが埋め込まれることがあります。LA TimesやYouTubeなどの大手サイトでも過去に発生しています。

2017-2018年にピークを迎えた後、Coinhiveのサービス終了や仮想通貨価格の下落により一時的に減少しましたが、最近は再び増加傾向にあります。特に、企業のクラウド環境やコンテナを標的とした高度な攻撃が増えています。攻撃者にとってリスクが低く、長期的な収益が見込めるため、今後も継続的な脅威となるでしょう。

更新履歴

初稿公開

京都開発研究所

システム開発/サーバ構築・保守/技術研究

CMSの独自開発および各業務管理システム開発を行っており、 10年以上にわたり自社開発CMSにて作成してきた70,000以上のサイトを 自社で管理するサーバに保守管理する。