クリプトジャッキングとは、標的の端末を不正にジャックし、ビットコインなどの暗号通貨（仮想通貨）をマイニング（採掘）する、悪意ある行為です。

「マイニング」とは、膨大な計算作業を成功させた報酬として暗号資産を獲得することを指します。

クリプトジャッキングによる被害は、とくに中小企業が受けやすいとされています。理由として、中小企業は個人に比べ、業務で使用することを想定したCPU性能の高い端末を所持しつつも、大手企業に比べセキュリティ対策が脆弱であり、攻撃を仕掛けやすいことが挙げられます。

企業や組織のデバイスが不正に利用されないためにも、クリプトジャッキングに対する理解を深め、対策を講じることが重要です。

「クリプトジャッキングとはそもそも何なのか知りたい」「クリプトジャッキングの対処法や予防策を学びたい」という方は、ぜひご一読ください。

クリプトジャッキングとは？

クリプトジャッキングとは、標的の端末を不正に利用し、暗号資産（仮想通貨）をマイニングする行為です。

マイニングとは「採掘」を意味する用語で、詳細には「暗号資産の取引記録をブロックチェーンと呼ばれる取引台帳に記帳し、報酬をもらう行為」を指します。

しかし、マイニングには計算処理能力の高いコンピュータが必要であり、かつ大量の電力を消費するため、得られる報酬よりコストの方が高くなるという懸念がありました。

そこで攻撃者は自身の端末ではなく、他人の端末を不正に利用することで、コストをかけずマイニングで利益を獲得することを試みます。これがクリプトジャッキングです。

クリプトジャッキングの被害にあうとPCの処理能力が乗っ取られてしまうため、CPUやメモリなどのリソースが消費され、端末の処理速度が低下する・熱暴走や機能停止に陥る、といった症状があらわれます。

企業・個人ともにクリプトジャッキングには十分な対策が必要ですが、マイニングがバックグラウンドで実行される上、他のマルウェアのように直接的な危害に至らないことから「被害に気づきづらい」という厄介な特徴があります。

不正使用されたクラウドアカウントの6割以上がマイニング被害に

セキュリティの脆弱な多くのクラウドサービスが、クリプトジャッキングの被害にあっていることも公開されています。

2022年9月にGoogle サイバーセキュリティ対応チーム（GCAT）が発表した「Threat Horizons Report」によると、不正使用されたクラウドアカウントの約65%が暗号資産マイニングの被害にあっていたことが明らかになっています。

また同じくGoogleの2021年11月に公開したレポートによれば、侵害されたクラウドインスタンス（サーバー）の86%が、暗号資産のマイニングに悪用されていました。

クラウドアカウントへ侵入された要因としては、認証方法をデフォルトのままに設定していた、あるいは容易に推測できるパスワードを使用していたこと等が挙げられます。

出典：Google｜ Threat Horizons Report（2022年9月）

出典：ITmedia NEWS│Google Cloud、乗っ取られて暗号資産を無断採掘しているインスタンスを見つける「VM threat detection」発表

暗号資産の仕組みとマイニングについて

暗号資産を利用したことがない方にとっては、「マイニング」がややイメージしにくいかと思いますので、ここでは暗号資産の仕組みとマイニングついて簡単に説明します。

円やドルといった通貨は、国・中央銀行などが管理しています。しかし、暗号資産にはそのような管理を担う仕組みがないため、暗号資産を利用する者同士で、取引に不正がないかなどを管理する必要があるのです。

管理では、ブロックと呼ばれる取引記録（いつ、誰が、どれくらいの金額を取引したか等がわかる）を生成し、このブロックを繋げたものを「ブロックチェーン」と呼びます。正しい取引の実施が証明できた時のみブロックを繋げられ、不正があるとブロックチェーンは作れません。このブロックチェーンに取引データなどを記録する作業を「マイニング」と呼びます。

先ほども述べたように、マイニングには膨大な計算処理が必要になりますが、それを最初に成功させた人には報酬が与えられます。

このマイニングによって暗号資産の正しい取引内容が記録され、ネットワーク全体が健全に維持される仕組みとなっています。

クリプトジャッキングの手口

クリプトジャッキングでは、主に2パターンの手口が用いられます。

1.マルウェアを使う手口

クリプトジャッキングのために使用されるマルウェアを「クリプトマイナー」といいます。

クリプトマイナーは、以下のような感染経路にてユーザーのPCに感染します。

クリプトマイナーは端末に侵入することで、PCのCPUやメモリを占有し、不正にマイニング行為を行います。クリプトマイナーを削除しない限り、継続的に攻撃がおこなわれます。

2.JavaScriptを埋め込む手口

2つ目に紹介する手口は、JavaScriptを埋め込む手法です。JavaScriptとは、動的なWebページを作成するために使用されるプログラミング言語のことです。

攻撃者がWebサイト、もしくはサイト内のバナーに不正なJavaScriptを埋め込むことで、サイトの閲覧やバナーをクリックしたユーザーは、知らぬ間にクリプトジャッキングのコードが実行されてしまいます。

クリプトジャッキングされるとどうなる？（兆候）

クリプトジャッキングされると、主に以下のような症状があらわれます。

マイニングには膨大な計算処理が必要なので、端末にかなりの負荷がかかります。よってクリプトジャッキングされると「操作が遅くなる」「動作が不安定になる」といった、パフォーマンスの著しい低下が発生します。

またマイニングの計算処理でCPUにも高い負荷がかかるため、パソコンなどの端末の冷却処理が間に合わず、場合によっては周辺部品まで過熱が進み、最終的に負荷に耐え切れず突然電源が落ちることもあります。

パフォーマンスが目に見えて低下した際は、クリプトジャッキングが仕掛けられている可能性があるため要注意です。対処方法としてPCの再起動やWebページのタブを全て閉じる、加えてブラウザ上でのJavaScriptの実行を無効化することなどが有効です。

クリプトジャッキングの被害事例

過去には国内・海外を問わず、クリプトジャッキングによる被害が多数報告されています。

以下では、実際に発生した4つの被害事例をご紹介します。

1.大手通信企業の検証サーバーに不正アクセス

1つ目に紹介するのは、大手通信企業の検証サーバーに、マルウェア（仮想通貨採掘プログラム）が仕込まれていた事件です。マルウェア検出アラートが発生したことで調査を行った結果、検証サーバーへの不正アクセスが明らかになりました。

不正アクセスにより、会社名、担当者名、電話番号、メールアドレスの情報が流出した可能性があるとされましたが、実際に情報の流出は確認できず、仮想通貨マイニングプログラムのインストールを目的とした攻撃だったとされています。

不正アクセスが起きた原因として

などがあげられています。

２.米国大手自動車メーカーのAWSに不正にマイニングツールがインストール

米国の大手自動車メーカーが使用するクラウドサーバーにて、クリプトジャッキングが行われる事件がありました。

原因は使用していた管理ツールで、オープンソースとしてプラットフォームが公開されているものです。プラットフォームではパスワードによる保護が未対応で、誰でも容易にアクセス可能な状態になっていました。

攻撃者はプラットフォームの奥深くに「Stratum」というマイニングツールを仕込み、クリプトジャッキングを実施。マイニングツールは発見されたその日に削除されましたが、当該プラットフォームを一時的に閉鎖する事態となりました。

3.中国大手スマートフォンメーカー公式Webサイトにマイニングスクリプトが埋め込まれる

中国大手スマートフォンメーカーの日本法人公式Webサイトにて、閲覧者に強制的にマイニングを実行させる、マイニングスクリプトが埋め込まれる事件が発生しました。

当該サイトを開くと動作が遅くなり、CPUの利用率が高まることに気づいた多数の利用者によって、ネット上に「マイニングスクリプトが仕込まれている証拠画像」がアップされる事態に。

企業側は後日、サーバーにデータを再アップロードすることで、Webサイトのマイニングスクリプトを除去した旨を報告しています。

クリプトジャッキングへの対処法

端末のパフォーマンスが悪い、急にメモリの占有率が上がった、といったクリプトジャッキングの兆候が見られた場合、以下のような対処法をおこないましょう。

Webサイトを全て閉じる

特定のWebサイトを閲覧した際、「動作が重くなった」「CPUの使用率があがった」などの症状が見られた場合、閲覧によってマイニングが行われている可能性があります。

対象法として、一度疑われるすべてのWebサイトを閉じましょう。基本的にはWebサイトを開いている時のみクリプトジャッキングが実行されるので、サイトを閉じれば症状が収まります。

JavaScriptを一時的にブロックする

もしWebサイトを閉じても症状の改善が見られない場合は、JavaScripを一時的にブロックする（無効にする）のも一つの手です。

JavaScripをブロックすることで、不審なメールやWebサイトからダウンロードしたマルウェアが、自動で実行されるのを防ぐ効果が期待できます。

端末を再起動させる

ブラウザを全て閉じた後、端末を再起動させるのも、クリプトジャッキングの対処法として有効です。

このとき、再びクリプトジャッキングが開始される危険性があるため、再起動後に前回開いていたブラウザが自動で開かないよう注意が必要です。

クリプトジャッキングへの予防策

先述の方法を用いることでクリプトジャッキングは改善できますが、そもそも被害に遭っていること自体に気づきづらく、早期対処が厳しいという難点があります。

よって企業・組織は日頃から、そもそもクリプトジャッキングから身を守るための対策に取り組むことが重要です。有効な予防策は以下の4つです。

1．不審なメールやサイトを安易に開かない

マルウェア「クリプトマイナー」は、メールの添付ファイルやWebサイトの閲覧、ソフトウェアのダウンロードを経由して端末に侵入します。よって不審なメールやウェブサイトは、そもそも安易に開かないよう心がけましょう。

場合によってはWebサイトを閲覧しただけで、マイニング行為が自動的に実行されるケースもあります。

また信頼できないサイトへのアクセスを避けるため、SSL化（https化）されたサイトのみを閲覧することも重要です。「SSL化（https化）」とはインターネット上の通信を暗号化することで、攻撃者に情報を傍受されたとしても、個人情報の流出や改ざんなどを回避できる仕組みです。

2．OSやブラウザは常に最新の状態にしておく

OSやブラウザに脆弱性（セキュリティ上の欠陥）がある場合、クリプトマイナーが端末に侵入しやすくなってしまいます。OSやブラウザは常に最新の状態にし、脆弱性を日頃から解消することが重要です。

こまめにアップデートを確認して、攻撃の隙を与えないようにしましょう。自動アップデートを設定しておくこともおすすめです。

3．広告表示をブロックしておく

クリプトジャッキングの手口の中には、ポップアップ広告を悪用したものも存在します。ポップアップ広告とは、Webページにアクセスした際、広告表示用のウィンドウが自動的に開くタイプの広告です。

あらかじめ広告表示をブロックしておくことで、広告経由のクリプトジャッキングを防ぐことができます。

4．アンチウイルスソフト・EDRを導入する

多くのアンチウイルスソフトでは、PCやモバイル端末にあらかじめ導入することで、クリプトマイナーの侵入を防止できます。

アンチウイルスソフトは、「パターンファイル」を用いた既知のマルウェア検出に限定される製品と、「パターンファイル」に頼らず未知・亜種のマルウェア検出が可能な製品とに分類されます。

クリプトマイナーの検出であれば、未知のマルウェア検出も可能な、後者の製品がおすすめです。

またアンチウイルスとの併用を検討したい「EDR」は、ＰＣやサーバー内を監視し、不審な挙動を検知・対処するためのセキュリティ製品です。侵入後の脅威を検知できるという特色から、クリプトジャッキングの不正な挙動を検出し、アラートで管理者に通知することが期待できます。

アンチウイルスでマルウェアの侵入を未然に防ぎ、万が一侵入を許してしまった場合、EDRでインシデントにいち早く対応する、という両者を組み合わせた対策が効果的です。

クリプトジャッキング対策ならLANSCOPEサイバープロテクションにお任せ

最後にクリプトマイナーを含むマルウェアを高い精度で検知する、弊社のAIアンチウイルスについてご紹介させてください。

「LANSCOPE サイバープロテクション」では、未知のマルウェアも検知・ブロックする、2種類のAIアンチウイルスを提供しています。  

1． アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD」

アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できるのは先述の通りです。

しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていない企業様も少なくありません。

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「Cylanceシリーズ」です。

の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。

アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。

2． 各種ファイル・端末に対策できるNGAV「Deep Instinct（ディープインスティンクト）」

そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」がおすすめです。

近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。

今回のテーマである「クリプトマイナー」をはじめ、今猛威を振るっているランサムウェアや、2020年以降に国内で大量発生した「Emotet（エモテット）」などの攻撃も、 Deep Instinctで検知することが可能です。

また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。

まとめ

今回は「クリプトジャッキング」をテーマに、その概要や手口、対策などについて解説しました。

クリプトジャッキングは実行されても気づきにくいのが特徴です。「業務端末が知らない間に不正利用されていた」という事態を増やさないためにも、企業・組織は日頃から入念な対策を行いましょう。