あなたの会社は大丈夫？情シスでも騙される
近年のマルウェア感染手口５選！

今すぐ社内に注意喚起したい、知っておくべきマルウェアの手口がわかります。

資料をダウンロードする

クリプトジャッキングとは、標的のデバイスを不正にジャックし、ビットコインなどの暗号通貨（仮想通貨）をマイニング（採掘）する、悪意ある行為です。

「マイニング」とは、膨大な計算作業を成功させた報酬として暗号資産を獲得することを指します。

クリプトジャッキングによる被害は、特に中小企業が受けやすいとされています。理由として、中小企業は個人に比べ、業務で使用することを想定したCPU性能の高いデバイスを所持しつつも、大手企業に比べセキュリティ対策が脆弱であり、攻撃を仕掛けやすいことが挙げられます。

企業や組織のデバイスが不正に利用されないためにも、クリプトジャッキングに対する理解を深め、対策を講じることが重要です。

「クリプトジャッキングとはそもそも何なのか知りたい」「クリプトジャッキングの対処法や予防策を学びたい」という方は、ぜひご一読ください。

クリプトジャッキングとは？

クリプトジャッキングとは、標的のデバイスを不正に利用し、暗号資産（仮想通貨）をマイニングする行為です。

マイニングとは「採掘」を意味する用語で、詳細には「暗号資産の取引記録をブロックチェーンと呼ばれる取引台帳に記帳し、報酬をもらう行為」を指します。

しかし、マイニングには計算処理能力の高いコンピュータが必要であり、かつ大量の電力を消費するため、得られる報酬よりコストの方が高くなるという懸念がありました。

そこで攻撃者は自身のデバイスではなく、他人のデバイスを不正に利用することで、コストをかけずマイニングで利益を獲得することを試みます。これがクリプトジャッキングです。

クリプトジャッキングの被害にあうとPCの処理能力が乗っ取られてしまうため、CPUやメモリなどのリソースが消費され、デバイスの処理速度が低下する・熱暴走や機能停止に陥る、といった症状があらわれます。

企業・個人ともにクリプトジャッキングには十分な対策が必要ですが、マイニングがバックグラウンドで実行される上、他のマルウェアのように直接的な危害に至らないことから「被害に気づきづらい」という厄介な特徴があります。

不正使用されたクラウドアカウントの6割以上がマイニング被害に

セキュリティの脆弱な多くのクラウドサービスが、クリプトジャッキングの被害にあっていることも公開されています。

2022年9月にGoogle サイバーセキュリティ対応チーム（GCAT）が発表した「Threat Horizons Report」によると、不正使用されたクラウドアカウントの約65%が暗号資産マイニングの被害にあっていたことが明らかになっています。

また同じくGoogleの2021年11月に公開したレポートによれば、侵害されたクラウドインスタンス（サーバー）の86%が、暗号資産のマイニングに悪用されていました。

クラウドアカウントへ侵入された要因としては、認証方法をデフォルトのままに設定していた、あるいは容易に推測できるパスワードを使用していたこと等が挙げられます。

出典：Google｜ Threat Horizons Report（2022年9月）

出典：ITmedia NEWS│Google Cloud、乗っ取られて暗号資産を無断採掘しているインスタンスを見つける「VM threat detection」発表

暗号資産の仕組みとマイニングについて

暗号資産を利用したことがない方にとっては、「マイニング」がややイメージしにくいかと思いますので、ここでは暗号資産の仕組みとマイニングついて簡単に説明します。

円やドルといった通貨は、国・中央銀行などが管理しています。しかし、暗号資産にはそのような管理を担う仕組みがないため、暗号資産を利用する者同士で、取引に不正がないかなどを管理する必要があるのです。

管理では、ブロックと呼ばれる取引記録（いつ、誰が、どれくらいの金額を取引したか等がわかる）を生成し、このブロックを繋げたものを「ブロックチェーン」と呼びます。正しい取引の実施が証明できた時のみブロックを繋げられ、不正があるとブロックチェーンは作れません。このブロックチェーンに取引データなどを記録する作業を「マイニング」と呼びます。

先ほども述べたように、マイニングには膨大な計算処理が必要になりますが、それを最初に成功させた人には報酬が与えられます。

このマイニングによって暗号資産の正しい取引内容が記録され、ネットワーク全体が健全に維持される仕組みとなっています。

クリプトジャッキングの手口

クリプトジャッキングでは、主に2パターンの手口が用いられます。

マルウェアを使う手口

クリプトジャッキングのために使用されるマルウェアは「クリプトマイナー（もしくは暗号資産マイニングマルウェア）」と呼ばれます。

クリプトマイナーは、以下のような感染経路にてユーザーのPCに感染します。

クリプトマイナーはデバイスに侵入することで、PCのCPUやメモリを占有し、不正にマイニング行為を行います。クリプトマイナーを削除しない限り、継続的に攻撃が行われます。

JavaScriptを埋め込む手口

2つ目に紹介する手口は、JavaScriptを埋め込む手法です。JavaScriptとは、動的なWebページを作成するために使用されるプログラミング言語のことです。

攻撃者がWebサイト、もしくはサイト内のバナーに不正なJavaScriptを埋め込むことで、サイトの閲覧やバナーをクリックしたユーザーは、知らぬ間にクリプトジャッキングのコードが実行されてしまいます。

あなたの会社は大丈夫？情シスでも騙される
近年のマルウェア感染手口５選！

今すぐ社内に注意喚起したい、知っておくべきマルウェアの手口がわかります。

資料をダウンロードする

クリプトジャッキングされるとどうなる？（兆候）

クリプトジャッキングされると、主に以下のような症状があらわれます。

マイニングには膨大な計算処理が必要なので、デバイスにかなりの負荷がかかります。よってクリプトジャッキングされると「操作が遅くなる」「動作が不安定になる」といった、パフォーマンスの著しい低下が発生します。

またマイニングの計算処理でCPUにも高い負荷がかかるため、PCなどのデバイスの冷却処理が間に合わず、場合によっては周辺部品まで過熱が進み、最終的に負荷に耐え切れず突然電源が落ちることもあります。

パフォーマンスが目に見えて低下した際は、クリプトジャッキングが仕掛けられている可能性があるため要注意です。対処方法としてPCの再起動やWebページのタブを全て閉じる、加えてブラウザ上でのJavaScriptの実行を無効化することなどが有効です。

クリプトジャッキングの被害事例

過去には国内・海外を問わず、クリプトジャッキングによる被害が多数報告されています。

以下では、実際に発生した4つの被害事例をご紹介します。

1.フードデリバリーサービスを提供する企業のサーバーがクリプトマイナーに感染

2024年10月、フードデリバリーサービスを提供する大手企業で大規模なシステム障害が発生する事件がありました。

被害を受けた企業の報告によれば、10月25日にサーバーが高負荷となったことからサービスを停止し、当該サーバーを切り離してサービスを再開。しかし翌日、異なるサーバが高負荷となり再度サービスを停止しました。

今回のシステム障害は「RedTail」というクリプトマイナーに感染したことが原因とみられています。

これによって個人情報の流出といった被害はありませんでしたが、3日以上もサービスが停止する事態となりました。

2.大手通信企業の検証サーバーに不正アクセス

大手通信企業の検証サーバーに、マルウェア（仮想通貨採掘プログラム）が仕込まれる事件がありました。マルウェア検出アラートが発生し、調査を行った結果、検証サーバーへの不正アクセスが明らかになりました。

不正アクセスにより、会社名、担当者名、電話番号、メールアドレスの情報が流出した可能性があるとされましたが、実際に情報の流出は確認できず、仮想通貨マイニングプログラムのインストールを目的とした攻撃だったとされています。

不正アクセスが起きた原因として

などがあげられています。

3.米国大手自動車メーカーのAWSに不正にマイニングツールがインストール

米国の大手自動車メーカーが使用するクラウドサーバーにて、クリプトジャッキングが行われる事件がありました。

原因は使用していた管理ツールで、オープンソースとしてプラットフォームが公開されているものです。プラットフォームではパスワードによる保護が未対応で、誰でも容易にアクセス可能な状態になっていました。

攻撃者はプラットフォームの奥深くに「Stratum」というマイニングツールを仕込み、クリプトジャッキングを実施。マイニングツールは発見されたその日に削除されましたが、当該プラットフォームを一時的に閉鎖する事態となりました。

4.中国大手スマートフォンメーカー公式Webサイトにマイニングスクリプトが埋め込まれる

中国大手スマートフォンメーカーの日本法人公式Webサイトにて、閲覧者に強制的にマイニングを実行させる、マイニングスクリプトが埋め込まれる事件が発生しました。

当該サイトを開くと動作が遅くなり、CPUの利用率が高まることに気づいた多数の利用者によって、ネット上に「マイニングスクリプトが仕込まれている証拠画像」がアップされる事態に。

企業側は後日、サーバーにデータを再アップロードすることで、Webサイトのマイニングスクリプトを除去した旨を報告しています。

クリプトジャッキングへの対処法

デバイスのパフォーマンスが悪い、急にメモリの占有率が上がった、といったクリプトジャッキングの兆候が見られた場合、以下のような対処法を行いましょう。

Webサイトを全て閉じる

特定のWebサイトを閲覧した際、「動作が重くなった」「CPUの使用率があがった」などの症状が見られた場合、閲覧によってマイニングが行われている可能性があります。

対象法として、一度疑われるすべてのWebサイトを閉じましょう。基本的にはWebサイトを開いている時のみクリプトジャッキングが実行されるので、サイトを閉じれば症状が収まります。

JavaScriptを一時的にブロックする

もしWebサイトを閉じても症状の改善が見られない場合は、JavaScripを一時的にブロックする（無効にする）のも一つの手です。

JavaScripをブロックすることで、不審なメールやWebサイトからダウンロードしたマルウェアが、自動で実行されるのを防ぐ効果が期待できます。

デバイスを再起動させる

ブラウザを全て閉じた後、デバイスを再起動させるのも、クリプトジャッキングの対処法として有効です。

このとき、再びクリプトジャッキングが開始される危険性があるため、再起動後に前回開いていたブラウザが自動で開かないよう注意が必要です。

あなたの会社は大丈夫？情シスでも騙される
近年のマルウェア感染手口５選！

今すぐ社内に注意喚起したい、知っておくべきマルウェアの手口がわかります。

資料をダウンロードする

クリプトジャッキングへの予防策

先述の方法を用いることでクリプトジャッキングは改善できますが、そもそも被害に遭っていること自体に気づきづらく、早期対処が厳しいという難点があります。

よって企業・組織は日頃から、そもそもクリプトジャッキングから身を守るための対策に取り組むことが重要です。有効な予防策は以下の4つです。

不審なメールやサイトを安易に開かない

マルウェア「クリプトマイナー」は、メールの添付ファイルやWebサイトの閲覧、ソフトウェアのダウンロードを経由してデバイスに侵入します。よって不審なメールやウェブサイトは、そもそも安易に開かないよう心がけましょう。

場合によってはWebサイトを閲覧しただけで、マイニング行為が自動的に実行されるケースもあります。

また信頼できないサイトへのアクセスを避けるため、SSL化（https化）されたサイトのみを閲覧することも重要です。「SSL化（https化）」とはインターネット上の通信を暗号化することで、攻撃者に情報を傍受されたとしても、個人情報の流出や改ざんなどを回避できる仕組みです。

OSやブラウザは常に最新の状態にしておく

OSやブラウザに脆弱性（セキュリティ上の欠陥）がある場合、クリプトマイナーがデバイスに侵入しやすくなってしまいます。OSやブラウザは常に最新の状態にし、脆弱性を日頃から解消することが重要です。

こまめにアップデートを確認して、攻撃の隙を与えないようにしましょう。自動アップデートを設定しておくこともおすすめです。

広告表示をブロックしておく

クリプトジャッキングの手口の中には、ポップアップ広告を悪用したものも存在します。ポップアップ広告とは、Webページにアクセスした際、広告表示用のウィンドウが自動的に開くタイプの広告です。

あらかじめ広告表示をブロックしておくことで、広告経由のクリプトジャッキングを防ぐことができます。

アンチウイルスソフト・EDRを導入する

多くのアンチウイルスソフトでは、PCやモバイルデバイスにあらかじめ導入することで、クリプトマイナーの侵入を防止できます。

アンチウイルスソフトは、「パターンファイル」を用いた既知のマルウェア検出に限定される製品と、「パターンファイル」に頼らず未知・亜種のマルウェア検出が可能な製品とに分類されます。

クリプトマイナーの検出であれば、未知のマルウェア検出も可能な、後者の製品がおすすめです。

またアンチウイルスとの併用を検討したい「EDR」は、ＰＣやサーバー内を監視し、不審な挙動を検知・対処するためのセキュリティ製品です。侵入後の脅威を検知できるという特色から、クリプトジャッキングの不正な挙動を検出し、アラートで管理者に通知することが期待できます。

アンチウイルスでマルウェアの侵入を未然に防ぎ、万が一侵入を許してしまった場合、EDRでインシデントにいち早く対応する、という両者を組み合わせた対策が効果的です。

クリプトジャッキング対策なら「LANSCOPEサイバープロテクション」

最後にクリプトマイナーを含むマルウェアを高い精度で検知する、弊社のAIアンチウイルスについてご紹介させてください。

「LANSCOPE サイバープロテクション」では、未知のマルウェアも検知・ブロックする、2種類のAIアンチウイルスを提供しています。

1．アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」

「Aurora Managed Endpoint Defense」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。

例えば、「アンチウイルスとEDRを両方使いたい」「できるだけ安価に両機能を導入したい」「EDRの運用に不安がある」などのニーズをお持ちの企業の方には、エンドポイントセキュリティを支援する「Auroraシリーズ」の導入が最適です。

「Auroraシリーズ」では、以下の3つのサービスをお客様の予算や要望に応じて提供します。

高精度なアンチウイルスとEDRの併用が可能となり、セキュリティの専門家が24時間365日体制で監視を行うことで、マルウェアから確実にエンドポイントを守ります。

アンチウイルスのみ、またはアンチウイルス＋EDRのみの導入など、柔軟な対応も可能です。詳細は以下のページをご覧ください。

2． 各種ファイル・デバイスに対策できるNGAV「Deep Instinct」

以下のニーズをお持ちの企業・組織の方は、AIのディープラーニング技術を活用し、未知のマルウェアを高い精度でブロックする、次世代型アンチウイルス「Deep Instinct」がおすすめです。

近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。

ファイル形式を問わず対処できる「Deep Instinct」であれば、多様な形式のマルウェアを形式に関係なく検知可能です。

また、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。

万が一、マルウェアに感染した場合は？迅速な復旧を実現する「インシデント対応パッケージ」

「マルウェアに感染したかもしれない」 「サイトに不正ログインされた痕跡がある」 など、サイバー攻撃を受けた事後に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。

「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。

まとめ

今回は「クリプトジャッキング」をテーマに、その概要や手口、対策などについて解説しました。

クリプトジャッキングは実行されても気づきにくいのが特徴です。「業務用デバイスが知らない間に不正利用されていた」という事態を増やさないためにも、企業・組織は日頃から入念な対策を行いましょう。

あなたの会社は大丈夫？情シスでも騙される
近年のマルウェア感染手口５選！

今すぐ社内に注意喚起したい、知っておくべきマルウェアの手口がわかります。

資料をダウンロードする