最近PCが重い、ファンが鳴りっぱなし、電気代やクラウド請求が増えた。もしかして、それはクリプトジャッキングかもしれません。
静かに資源を奪う不正マイニングは気づきにくいのが難点です。
この記事では、仕組みと初期症状、実例、そして今すぐできる検知・予防・対処までを、要点だけに絞って分かりやすく解説します。
この記事は以下のような人におすすめ!
- クリプトジャッキングとは何か知りたい人
- 自分の端末がクリプトジャッキングに“今”あっているか分からない
- どのような対策を取るべきなのか知りたい人
スポンサーリンク
目次
クリプトジャッキングとは
「クリプトジャッキング」とは、気づかないうちに自分のパソコンやスマートフォン、さらにはクラウド環境の計算資源を乗っ取られ、攻撃者が暗号資産(仮想通貨)の“採掘(マイニング)”に利用されてしまうサイバー攻撃のことです。
つまり、あなたのデバイスが勝手に暗号資産を掘る“発電所”にされ、電気代やクラウド料金、性能劣化の負担だけが被害者にのしかかります。
なぜこのテーマが重要かというと、クリプトジャッキングはランサムウェアのように派手な脅迫メッセージを出さないため、発見が遅れやすいからです。
したがって、クリプトジャッキングの仕組みや兆候、背景を正しく理解することが、被害の最小化につながります。
1-1. まずは言葉の定義:「クリプトジャッキング」とは?
クリプトジャッキングは、不正に組み込まれたマルウェアやブラウザ用スクリプトが、被害者のCPUやGPU、クラウドのコンピュートインスタンスを使って暗号資産を採掘する行為を指します。
なぜなら、暗号資産のマイニングには大量の計算が必要で、攻撃者が自前で用意するとコストが高い一方、他人の資源を盗めば費用ゼロで利益化できるからです。
1-1-1. ざっくり一言でいうと
- クリプトジャッキング=「不正マイニング」。
- 目的=攻撃者の収益化(被害者はコストだけ負担)。
- 特徴=静かに長く居座る“サイレント型”のサイバー攻撃。
1-1-2. どのデバイスが狙われる?
- パソコン(Windows・macOS・Linux)
- スマートフォン(Android・iOS)
- ルーターやNASなどのIoT機器
- クラウド(IaaSの仮想マシン、Kubernetes クラスタなど)
1-1-3. クリプトジャッキングの“症状”早見表
| 観点 | クリプトジャッキングで起きがち | なぜ起きる? |
|---|---|---|
| CPU・GPU使用率 | 常時高止まり、アイドル時でも高い | マイニング処理が裏で常時稼働 |
| 発熱・ファン騒音 | 異常に熱い、ファン全開 | 長時間の高負荷が続く |
| バッテリー・電気代 | 急速に消耗、電気代上昇 | 計算資源をフル活用 |
| 端末の体感速度 | 目に見えて重い | リソースが奪われる |
| クラウド請求 | 謎のコスト急増 | 勝手にインスタンス増設・長時間稼働 |
1-1-4. 他の攻撃との違い(混同しやすいポイント)
| 項目 | クリプトジャッキング | ランサムウェア | 情報窃取型マルウェア |
|---|---|---|---|
| 主目的 | 不正マイニングで収益化 | データ暗号化で身代金要求 | 資格情報や機密データの窃取 |
| 目立ち方 | 目立たない(静かに長期化) | 目立つ(脅迫画面) | 目立たない(潜伏・送信) |
| 被害の見え方 | 電気代・性能劣化・クラウド費用 | データ不可用・業務停止 | アカウント乗っ取り・漏えい |
| 主要な兆候 | 高負荷・過熱・費用増 | 画面ロック・復号要求 | 不審な通信・ログイン |
1-2. なぜ注目されているのか:背景と最近の動向(DeFiやMoneroの利用)
クリプトジャッキングが注目される最大の理由は、攻撃者にとって“低リスク・中長期で安定収益”というビジネスモデルになり得るからです。
さらに、暗号資産・DeFiエコシステムの拡大、そしてMoneroのようなプライバシー重視通貨の存在が、攻撃者のインセンティブを強めています。
1-2-1. 背景:攻撃者の「稼げる」動機
- コストゼロで採掘:他人のリソースを使うため、電気代やハード代が不要。
- 足がつきにくい収益化:ウォレットに自動的に報酬が入るため、現金化が容易。
- 長期滞在が可能:派手な挙動が少ないため、検知が遅れやすい。
- 失敗しても目立たない:失敗しても画面に脅迫文を出すわけではないため、リスク低め。
1-2-2. 最近の動向:クラウド時代のクリプトジャッキング
- クラウド資格情報の悪用:漏えいしたAPIキーやアクセスキーを用い、勝手に高性能インスタンスを起動してマイニング。
- コンテナ・Kubernetesの悪設定:公開されたダッシュボードや弱い認証を突かれ、Pod内でマイナーが実行される。
- スケールアウトの悪用:自動スケーリングを逆手に取り、短時間で大量の計算資源を消費。
その結果、企業側の月次請求が急増し、気づいたときには高額のクラウド費用が発生しているというケースが少なくありません。
1-2-3. 最近の動向:Moneroとマイニングツール(XMRigなど)
- Monero(XMR)はプライバシー保護機能が強く、CPUで採掘しやすい設計(例:RandomXアルゴリズム)が特徴。したがって、一般PCやクラウドVMでも一定の効率で採掘でき、クリプトジャッキングと相性が良いとされます。
- XMRigなどのオープンソースマイナーは設定が容易で、攻撃者は設定ファイルを書き換えるだけで不正採掘を実行可能。
- 難読化・自己防衛:マイナーをカモフラージュし、監視ツールから隠すテクニックが進化。
1-2-4. 最近の動向:DeFi普及との関係(資産ではなく計算資源を狙う)
DeFiは「資産」を扱う領域ですが、クリプトジャッキングは主に「計算資源」を狙います。
とはいえ、次のような間接的な関係があります。
- 市場活況=採掘インセンティブの増加:暗号資産市場が活発だと採掘報酬の期待値が上がり、攻撃のモチベーションが高まる。
- ウォレット・ノード運用の拡大:関連インフラが増えれば、脆弱なサーバや開発者マシンが入口となりうる。
- 攻撃者の収益多角化:情報窃取や詐欺と並行して、クリプトジャッキングで“底堅い収益”を狙う動き。
クリプトジャッキングの仕組み
クリプトジャッキングは、侵入して終わりではありません。実は「入り口 → 展開 → 不正マイニング → 隠蔽 → 横展開・維持」というライフサイクルで静かに利益化します。
つまり、目立つ破壊行為ではなく、あなたの計算資源を継続的に“家賃無料”で使い続ける仕組みです。
したがって、仕組みの理解こそが最短の防御になります。
2-1. どのように動作するのか:マルウェア型・スクリプト型の違い
クリプトジャッキングには大きく分けて「マルウェア型」と「スクリプト型(ブラウザ型)」があります。
両者の違いを押さえると、検知と対策の方針が明確になります。
2-1-1. マルウェア型の流れ(端末・サーバ・クラウドに常駐)
- 侵入
フィッシングメール、脆弱性攻撃、盗まれたクラウド鍵などから侵入します。なぜなら、マイニングは長時間稼働が前提のため、一度入れば“居座れる入口”が好まれるからです。 - 展開(インストール)
マイニング用プログラム(例:XMRig)や設定ファイルを配置。合わせて自動起動(Windowsのタスクスケジューラ、Linuxのcrontab、systemd など)を設定します。 - 不正マイニング開始
マイニングプールへ通信(Stratum など)を開始し、CPU/GPUを使って暗号資産を採掘。ときに負荷を30〜60%程度に抑え、発覚を遅らせます。 - 隠蔽・維持
名前を正規プロセス風に偽装、監視プロセス(watchdog)で停止しても再起動、設定変更で痕跡を薄めます。 - 横展開
共有鍵や脆弱な設定を辿り、同ネットワークやクラウド全体に拡大。結果として、電気代・クラウド請求が一気に跳ね上がります。
2-1-2. スクリプト型(ブラウザ型)の流れ(Web閲覧だけで動く)
- 誘導
攻撃者が用意・改ざんしたサイト、広告、ウィジェットにアクセスさせます。 - 実行
ブラウザ内でJavaScriptやWebAssemblyが動き、あなただけのCPUを使って採掘を開始。インストール不要です。 - セッション依存
多くはタブを閉じると終了しますが、サービスワーカーなどを悪用し、継続実行を狙う手口もあります。 - サイレント運用
表示は通常どおりでも、裏でCPU使用率が跳ね上がるのが特徴です。だから、ブラウザのタスクマネージャや拡張機能の活用が有効です。
2-1-3. マルウェア型とスクリプト型の比較表
| 観点 | マルウェア型 | スクリプト型(ブラウザ型) |
|---|---|---|
| 侵入経路 | フィッシング、脆弱性、盗難資格情報、クラウド鍵 | 改ざんサイト、悪性広告、埋め込みウィジェット |
| 実行場所 | OS上のプロセス(端末・サーバ・クラウド) | ブラウザ内(JS / WebAssembly) |
| 持続性 | 高い(自動起動・常駐) | 中〜低(タブ依存。ただし手口次第) |
| 影響 | 長期の高負荷・高額請求・横展開リスク | セッション中の高負荷・体感の重さ |
| 隠蔽 | プロセス名偽装・監視プロセス・設定改変 | スクリプト難読化・CDN経由・広告網経由 |
| 典型通信 | Stratum等、長時間の外部接続 | HTTPS経由の短〜中時間通信 |
| 初動対策 | EDR/アンチマルウェア、特権管理、パッチ | ブラウザ拡張、スクリプト制御、CSP導入 |
2-1-4. よくある誤解と対処の指針
- 誤解:「アンチウイルスが入っていれば安心」
現実:常駐化や設定改変、クラウド鍵の悪用など“運用面の穴”を突くため、権限管理・設定強化・監視を組み合わせる必要があります。 - 誤解:「ブラウザ型は害が小さい」
現実:多数ユーザーにばらまけば合算負荷は大きく、業務端末の生産性にも直結します。したがって、スクリプト制御と広告対策は有効です。
2-2. 主に狙われる暗号通貨とツール(例:Monero、XMRigなど)
クリプトジャッキングは「どの通貨を、どのツールで掘ると儲かるか」を計算したうえで実行されます。
なぜなら、攻撃者にとって採算性がすべてだからです。
2-2-1. なぜ Monero(XMR)が狙われやすいのか
- CPU寄りの設計:RandomXというアルゴリズムにより、一般的なCPUでも採掘効率が出やすい。つまり、企業端末やクラウドVMを使う“現実的な収益化”が可能です。
- プライバシー重視:送金の追跡が難しく、収益の受け取り・分配が目立ちにくい。
- プール・エコシステムの充実:マイニングプールが豊富で、接続先を頻繁に変えて追跡を回避できます。
- 設定の容易さ:一般的なマイナーで設定ファイルにウォレットとプールURLを入れるだけで開始可能です。
2-2-2. 代表的なマイニングツールと周辺コンポーネント
| 種別 | 名称の例 | 使われ方の要点 |
|---|---|---|
| CPUマイナー | XMRig | 最も一般的。設定ファイルでウォレット・プール・スロットリングを指定し、バックグラウンドで稼働。 |
| プール接続 | Stratum(プロトコル) | 長時間の外部接続を伴う。ポートは3333/4444/5555などの例があるが、443へ偽装する手口も。 |
| プロキシ | マイニングプロキシ | 複数端末のトラフィックを中継し、プールとの直接通信を隠蔽。 |
| 難読化・維持 | Watchdogスクリプト、サービス常駐 | 停止すると自動再起動、設定・名前を偽装して検知回避。 |
2-2-3. 攻撃者がよく行う“採算向上”テクニック
- スロットリング:CPU使用率を抑えて発覚を遅らせ、長期運用で総収益を最大化。
- 時間帯制御:勤務時間外に負荷を上げ、監視の目を避ける。
- プール・ウォレットの頻繁な切替:ブロックや追跡を回避。
- クラウドのスケール悪用:自動スケーリングやスポットインスタンスを勝手に使い、短期で爆発的に採掘。
2-2-4. 防御の視点:どこを見れば早く気づけるか
- ふるまい:アイドル時でもCPUが高止まり、ファンが常時全開。
- 通信:同一外部IPへの長時間接続、未知のドメインへの暗号化通信が増加。
- コスト:クラウド請求・電気代の異常値。だから、技術監視(メトリクス・ログ)とコスト監視の両輪が有効です。
- ファイル・プロセス:不自然なサービス名、最近追加された自動起動設定、ブラウザのタブ単位でのCPU暴騰。
手口・拡散方法の具体例
クリプトジャッキングは「入られる」「動かされる」「気づきにくい」の三拍子がそろって広がります。
つまり、侵入経路(メール・リンク・Webスクリプト)を断つことが最短の防御です。
したがって、本章ではクリプトジャッキングの代表的な拡散パターンを、再現しやすい具体例とともに解説します。
3-1. マルウェア感染経由:メール添付・リンク踏み誘導型
メールは今もクリプトジャッキングの王道ルートです。
なぜなら、業務で必ず開くアプリであり、添付ファイルやURLを介して不正プログラムを実行させやすいからです。
3-1-1. 典型シナリオ(ステップで理解)
- 誘導メールの受信
件名は「請求書」「見積書」「配送不在」「アカウント確認」など。信用させる送信者名や署名を偽装します。 - 添付の開封・リンクのクリック
Officeファイルのマクロ許可、PDF内リンク、短縮URLなどで外部サイトやスクリプトを起動。 - ローダーの実行
まずは小さな“ローダー”が落とされ、権限昇格や永続化設定を行い、本体を取得。 - マイナー展開(常駐化)
クリプトジャッキング用マイナー(例:XMRig)を設置し、自動起動・監視プロセスを構成。 - 隠蔽・維持
正規風のプロセス名に偽装、負荷を抑えて気づかれにくく運用。横展開して他端末にも広げます。
3-1-2. メール本文・サイトで見抜く“赤信号”
- 差出人ドメインが微妙に違う(例:example.co と example.com)
- 日本語が不自然、または過度に急かす表現(本日中、アカウント閉鎖)
- 添付開封を強要、または「マクロを有効に」と指示
- 重要書類なのにパスワードが別メール・別チャットで届く
3-1-3. よくある添付ファイルとリスク
| ファイル種別 | よくある名目 | 何が危険か | クリプトジャッキングに至る流れ |
|---|---|---|---|
| .docm / .xlsm(マクロ付) | 見積書・請求書 | マクロでローダー実行 | スクリプトでマイナーDL→自動起動 |
| .zip / .rar | 請求書一式 | 中身が実行ファイル | 解凍→実行→永続化 |
| 取引条件・配送票 | 埋め込みリンク誘導 | 外部サイト→ドライブバイDL | |
| .lnk / .iso | 配布資料 | 実行トリックで誤起動 | ショートカット→スクリプト起動 |
3-1-4. 感染後の“静かな”サイン(早期発見のヒント)
- アイドル時でもCPU使用率が高止まり、ファンが回りっぱなし
- タスクスケジューラやcrontabに見覚えのないジョブ
- 同一外部IP(プールっぽい先)へ長時間通信
- 端末復帰直後に短時間だけ負荷が急上昇(起動テストの可能性)
3-1-5. 予防と初動(ユーザー/情シスの分担)
- ユーザー側:添付は既定でプレビュー、マクロは原則オフ、送信元に“別経路で”確認。
- 情シス側:メールゲートでマクロ付/圧縮添付を隔離、URLリライトとサンドボックス、EDRで永続化検知、最小権限とアプリ制御。
- だから、人と技術の“二重扉”でクリプトジャッキングの入口を塞ぐことが重要です。
3-2. Web経由:サイト閲覧だけで動作するスクリプト型
ブラウザを開いただけでCPUが上がる――これがスクリプト型クリプトジャッキングの怖さです。
つまり、インストール不要で多数のユーザーに同時に負荷を与えられるのが強みです。
3-2-1. なぜ“閲覧だけ”で動くのか
- JavaScript や WebAssembly がページ読み込み時に実行され、CPU計算を開始。
- サードパーティの広告タグやウィジェット経由で注入されるため、正規サイトでも発生し得ます。
- サービスワーカーを悪用すると、タブを閉じても一定条件で継続可能。したがって、検知が遅れます。
3-2-2. 代表的な注入パターン
| パターン | どう仕込まれるか | クリプトジャッキングの動作 |
|---|---|---|
| 改ざんされたCMS/プラグイン | 脆弱なCMS管理画面からJS挿入 | ページ閲覧毎にマイニング開始 |
| 悪性広告(Malvertising) | 広告ネットワーク経由で配信 | 広告枠の表示だけでCPU使用率上昇 |
| サプライチェーン(CDN/SDK) | 外部ライブラリ更新時に混入 | 連鎖的に多数サイトへ拡散 |
| 埋め込みウィジェット | チャット/解析/通知のスニペット改変 | 全ページで持続的に実行 |
| 短縮URL・誘導LP | SNSやメッセから誘導 | 閲覧直後にJSが起動し一時的に採掘 |
3-2-3. ブラウザ側でのセルフディフェンス
- リソースの見える化:ブラウザのタスクマネージャでタブ/拡張ごとのCPU使用率を確認。
- スクリプト制御:コンテンツブロッカーやスクリプト無効化ルールを導入(業務サイトは許可リスト化)。
- 怪しいタブを即閉じ:音も動画もないのにCPUが高いタブは閉じて様子を見る。
- プロファイル分離:業務用ブラウザと私用ブラウザを分け、拡張も最小限に。
- なぜなら、実行基盤(ブラウザ)で止めるのが最短で効果的だからです。
3-2-4. 管理者・開発者が講じるべき対策(サイト運営側)
- CSP(Content Security Policy):許可ドメインを厳格化し、未知のスクリプト実行を遮断。
- SRI(Subresource Integrity):外部JSの改ざん検知。
- 依存関係の棚卸し:CDN/SDKのバージョンと配布元を定期監査。
- WAF/IPSのルール:既知のマイニングドメイン/パターンを遮断。
- ビルド・デプロイの署名:改ざんの早期発見。
- 結果として、正規サイトが“踏み台化”されるリスクを大幅に下げられます。
3-2-5. スクリプト型の“その場で見抜く”チェックリスト
- タブを閉じるとCPUが正常化する
- サイト移動で負荷が消える(ページ依存)
- 直前に表示された“怪しい広告”がある
- ネットワークモニタで同一外部ドメインに多数リクエスト
実際の被害事例とトレンド
クリプトジャッキングは「静かに長く居座る」ため、表沙汰になりにくい一方で、企業のクラウド費用や生産性に直接打撃を与えます。
ここでは、実際の被害事例と直近のトレンドを押さえ、読者がすぐに現場で役立てられるポイントに絞って整理します。
4-1. 有名企業の被害例(例:Teslaのクラウド被害など)
4-1-1. 事例スナップショット:Tesla(クラウド/Kubernetes)
- 何が起きたか:公開状態の Kubernetes コンソールが侵入口となり、攻撃者がクラウド環境内でクリプトジャッキングを実行。マイニング用プロトコル(Stratum)で外部と通信しつつ、検知を避ける工夫が見られました。Tesla は報告を受けて速やかに封じ込めを実施。つまり、「認証なき管理画面」が決定打でした。
- なぜ重要か:派手な被害に見えなくても、クラウド請求の急騰や機密への迂回アクセスにつながり得ます。したがって、Kubernetes やクラウド管理系の公開可否・認証強度は最優先で点検すべき項目です。
4-1-2. 事件から学べるチェックポイント
- 管理系の可視化:Kubernetes/Docker/各種ダッシュボードは外部公開しない。公開が必要ならゼロトラスト的アクセス制御と監査ログ。
- 長時間通信の監視:Stratum などマイニング系通信の検知ルール整備。
- コストモニタリング:クラウド請求の異常検知(週次・日次のしきい値)。
- インベントリ管理:新規に生えたコンテナ/インスタンスを自動検知。
4-1-3. そのほか代表的な被害・悪用パターン
- 公開 Docker API の悪用:認証なしの Docker API に対し、コンテナを直接デプロイしてマイナーを展開するキャンペーンが複数観測されています。2024 年には Datadog や Cado Security が相次ぎ報告。だから、API の公開可否とネットワーク分離が肝です。
- ミドルウェア脆弱性経由(WebLogic など):脆弱な WebLogic を踏み台にし、XMRig ベースのクリプトジャッキングへと移行する事例が継続的に確認されています。アップデート遅延は直結リスクです。
- クラウド横展開グループ(8220 など):SSH 乱数当てやコンテナ/YARN/Redis の設定不備を組み合わせ、クラウド横断で資源を乗っ取る手口が定番化。結果として、広範囲・長期の不正採掘につながります。
表:よくある侵入口と即効対策(要約)
| 侵入口・弱点 | 何が起きる? | 即効対策 |
|---|---|---|
| 公開 Kubernetes/Docker 管理面 | マイナー入りコンテナを直接起動 | 管理面は外部非公開、必要時は VPN/IDP 経由 |
| 脆弱ミドルウェア(WebLogic 等) | リモート実行から常駐マイナー展開 | パッチ適用、仮想パッチ、WAF ルール |
| 認証弱い SSH/鍵流出 | 横展開&恒久化 | 鍵ローテーション、MFA、fail2ban など |
| 監視の未整備 | 長時間の外部通信・高負荷に気づけない | Stratum 検知、メトリクスとコストの双方向監視 |
4-2. 現在進行中の攻撃キャンペーン(例:Akamaiによる調査報告)
4-2-1. Mexals キャンペーン(Akamai の調査)
- 概況:2020 年ごろから活動が観測され、2023 年に再活性化。XMRig を用いたリソース乗っ取り(クリプトジャッキング)が主眼で、SSH ブルートフォースや Cron 永続化など、地に足の着いた手口が特徴です。
- 示唆:地味でも長期運用に強い TTPが多く、EDR のふるまい検知とログの時間相関監視が効果的です。
4-2-2. 8220 ギャングの継続攻撃
- 最新像:2024 年も WebLogic など既知の脆弱性を突いて仮想通貨マイナーを展開。過去から Docker、YARN、Confluence、Redis など「露出したサービス」を広く狙う姿勢は不変です。つまり、露出=標的という原則が続いています。
- 示唆:外部公開サービスの棚卸しと攻撃面縮小(ASR)を最優先に。加えて、SSH 暴力的試行の遮断と既知 IOC のブロックを定常化します。
4-2-3. Docker API を狙う新顔(Commando Cat など)
- 動向:2024 年初頭から、認証なしの Docker API に対し、マイナー入りコンテナを瞬時に投下する新しい系統のキャンペーンが複数確認されました。スキャン→即デプロイ→自己維持という高速サイクルが特徴です。
- 示唆:2375/TCP の外部公開禁止、Docker ソケットの権限分離、イメージ署名とCI/CD のサプライチェーン検証を徹底してください。
被害を受けた場合の影響と、事前に気づく方法
クリプトジャッキングは静かに長く居座るため、影響が見えづらいのが厄介です。つまり、派手な警告は出ないのに、電気代やクラウド請求、端末の寿命といった“見えないコスト”が積み上がります。したがって、本章では影響を定量的に把握し、早期に気づくための実践的チェック方法を整理します。
5-1. デバイスの負荷増大、電気代上昇、故障リスクなど物理的・経済的影響
クリプトジャッキングは、端末・ネットワーク・クラウドの三方面に波及します。なぜなら、マイニングはCPU/GPUを継続的に酷使し、長時間の通信とストレージ書き込みを伴うからです。
5-1-1. 物理的影響(端末側)
- 高負荷による発熱増とファン騒音
アイドル時でもCPUが50%前後で張り付き、常時ファンが高速回転。 - パーツ寿命の短縮
熱ストレスにより、バッテリー劣化やストレージ故障率の上昇につながる。 - 体感パフォーマンス低下
ブラウザやIDE、表計算の操作が重くなり、業務効率を直撃。
5-1-2. 経済的影響(オンプレ・電力)
- 電気代の上昇
継続的な計算で消費電力が積み上がる。 - 生産性ロス
アプリの応答低下で作業時間が伸びる。結果として、残業や納期遅延のコストが増える。
例:簡易試算(目安)
- 追加消費電力が40Wで、1日8時間、月20日稼働
0.04kW × 8h × 20日 = 6.4kWh/月
単価30円/kWhとすると 約190円/月(端末1台)- デスクトップで120W増なら 約570円/月。
台数が増えるほど“静かな固定費”になります。
5-1-3. クラウド特有の影響(企業で要注意)
- 請求の急増
勝手にインスタンスが起動・スケールし、数日で数万円規模になることも。 - 帯域・ログ費用の増加
マイニングプールへの長時間通信でデータ転送量が膨らむ。 - 信頼の毀損
テナント外部への過剰通信が監査で問題化。だから、コスト監視とネットワーク監視を“同じ重み”で回す必要があります。
5-1-4. 影響の見える化(管理者向けダッシュボード項目)
| メトリクス | しきい値の目安 | 何が分かるか | 推奨アクション |
|---|---|---|---|
| CPU使用率(アイドル時) | 10%超が連続5分以上 | 不正計算の可能性 | プロセス特定、スケジューラ確認 |
| GPU利用率(非グラフィック時) | 20%超が持続 | GPUマイニングの疑い | GPUプロセス列挙、ドライバログ確認 |
| 同一外部IPへの長時間接続 | 30分超の継続 | プール接続の疑い | フロー遮断・宛先解析 |
| 新規自動起動エントリ | 直近24時間で追加 | 永続化の兆候 | 登録元・署名を精査 |
| クラウド日次コスト | 平常比+30% | 不正スケールの疑い | 起動履歴・APIキー調査 |
5-2. 検知のサイン:異常なCPU使用率・ブラウザ動作などの兆候
クリプトジャッキングは“ふるまい”に痕跡が出ます。
つまり、ツール任せにせず、日常的に気づける観察ポイントを持つことが重要です。
5-2-1. 端末での一次チェック(だれでもできる)
- CPU/GPUの張り付き
何もしていないのにCPUが高止まり、ファンが鳴り続ける。 - バッテリーの異常消費
スタンバイでも減りが速い。 - タスクマネージャ/アクティビティモニタで不審プロセス
無意味な名称、メーカー情報なし、ユーザー起動でないのに常時実行。 - ブラウザの挙動
タブを閉じると急に軽くなる、ある特定サイトでだけ一気に重くなる。
5-2-2. ブラウザ型クリプトジャッキングの見抜き方
- ブラウザのタスクマネージャ(Chromeは Shift+Esc)でタブや拡張ごとのCPUを確認。
- 開発者ツールのネットワークタブで、同じ宛先への小さなリクエストが連続していないかを観察。
- コンテンツブロッカーで一時的にスクリプトを止めると、負荷が下がるかを比較。
- だから、タブを閉じると解消する負荷は“スクリプト型”の可能性が高いと判断できます。
5-2-3. マルウェア型クリプトジャッキングの見抜き方(OS別)
- Windows
タスクマネージャで「スタートアップ」タブ、タスクスケジューラで不審ジョブ、サービス一覧で製造元不明の常駐を確認。 - macOS
アクティビティモニタでCPU上位をチェック、ログイン項目の不審エントリ、launchdのplist追加を確認。 - Linux
top/htopで負荷プロセスを特定、crontabとsystemdのユーザー・システムユニットに最近追加がないかを確認。
5-2-4. ネットワークでの早期検知(管理者向け)
- 長時間フローの検出:同一外部宛先への30分超のTCP持続を可視化。
- DNSモニタリング:未知のドメイン反復解決や、短TTLでの回転を検知。
- プロキシ/Firewallログの相関:ユーザー端末とサーバの同時期高負荷を突き合わせる。
- その結果、端末単体では気づけない“組織的な広がり”を初動で捉えられます。
5-2-5. 早期発見のための運用テンプレート
- しきい値アラート:アイドル時CPU10%超が5分継続、同一外部IPへ30分超接続、日次クラウドコスト+30%で通知。
- 週間レビュー:新規自動起動エントリ、管理者権限の付与履歴、直近で導入した拡張機能の棚卸し。
- 隔離と検証:疑わしい端末はまずネットワーク隔離、ハッシュ採取、プロセスと永続化ポイントを保存し、復旧はゴールデンイメージから。
- なぜなら、証跡を残さずに消してしまうと、再感染経路が特定できず根治できないからです。
クリプトジャッキングの予防と対処法
クリプトジャッキングは「静かに資源を奪う」攻撃です。
つまり、入らせない・動かさせない・居座らせないの三段構えが基本となります。
したがって、本章では個人(初心者)と企業の双方に向けて、今日から実践できる手順を優先度順に整理します。
6-1. 初心者でも簡単にできる具体的対策(アンチマルウェア、ブラウザ拡張、OS・ソフト更新など)
6-1-1. 今日からできる五つの基本設定
- OSとソフトを自動更新にする
なぜなら、古いままだと脆弱性悪用でクリプトジャッキング用マルウェアを入られやすいからです。 - 信頼できるセキュリティソフトを有効化(リアルタイム保護+定期スキャン)
したがって、未知の不審プロセスや永続化を早期に検知できます。 - ブラウザは最新・拡張は最小限
不要な拡張は無効化。だから、スクリプト型の入口が減ります。 - メールのマクロは既定でオフ
添付の実行を止めるだけで感染経路を大幅に遮断。 - 二要素認証(MFA)を有効化
クラウド鍵やアカウントの“乗っ取り横展開”を抑止。
迷ったら:まず「自動更新」「セキュリティソフト」「拡張の棚卸し」の三点から。
6-1-2. ブラウザでの予防(拡張・設定)
- コンテンツブロッカーで未知のスクリプトを抑制
- HTTPSのみを基本に、怪しいサイトは隔離プロファイルで開く
- ブラウザのタスクマネージャ(例:Chromeは Shift+Esc)でCPU高止まりタブを即特定
- サービスワーカーのクリア(設定から一括削除)で常駐化を解除
6-1-3. 感染が疑われたときの初動
- ネットワークを切断(Wi-Fiオフ/LAN抜線)
- タスクマネージャで高負荷プロセスを特定、起動元フォルダをメモ
- **自動起動(タスクスケジューラ/ログイン項目)**を確認し、怪しいものを無効化
- フルスキャンを実施し、必要ならシステムの復元や初期化
- クラウドに心当たりがある場合はAPIキー再発行/MFA強化
だから、証跡を残しながら段階的に進めることが再発防止の近道です。
6-1-4. 家庭内ネットワークの守り方(ルーター・IoT)
- ルーター管理画面の初期パスワード変更/リモート管理オフ
- UPnP無効化とファームウェア更新
- IoT機器は不要機能を停止し、来歴不明のスマート家電は隔離ネットワークへ
その結果、PC以外の機器を踏み台にしたクリプトジャッキングも抑えられます。
早見表(個人向け)
| 優先度 | やること | 所要時間の目安 | 効果のポイント |
|---|---|---|---|
| 高 | OS/ブラウザ自動更新 | 5分 | 脆弱性悪用を遮断 |
| 高 | セキュリティソフト有効化・定期スキャン | 10分 | マルウェア型の検知 |
| 中 | 拡張機能の棚卸し・無効化 | 10分 | スクリプト型の入口削減 |
| 中 | 重要アカウントのMFA化 | 10分 | クラウド悪用の抑止 |
| 低 | ルーター設定見直し | 15分 | 家庭内横展開の抑止 |
6-2. 企業向けの対策:ネットワーク監視、ログ解析、セキュリティポリシー整備など
6-2-1. 監視と検知の設計(メトリクスとアラート)
- ふるまい監視の三本柱:CPU/GPUメトリクス、長時間外部通信、コスト(クラウド請求)
- しきい値例
- アイドル時CPU10%超が5分継続でアラート
- 同一外部IPへ30分超のTCP接続でアラート
- 日次クラウドコストが平常比+30%で通知
なぜなら、クリプトジャッキングは「静かな高負荷・長時間通信・請求急増」という共通の足跡を残すからです。
6-2-2. ネットワーク防御(Egress制御・DNS監視)
- Egressフィルタリングで外向き通信を最小権限に
- DNS監視:短TTLの回転や、既知のマイニングプール風ドメインを検出
- プロキシ/FWでのカテゴリブロック(暗号資産マイニング関連)
したがって、端末単体の検知漏れもネットワーク側で補完できます。
6-2-3. エンドポイントとサーバのハードニング
- EDRのふるまい検知(新規自動起動・プロセス偽装・スケジューラ改変)
- アプリケーション制御(許可リスト)で未知のマイナー実行を禁止
- 最小権限(LAPS/Privileged Access Management)で横展開を抑止
- パッチ運用のSLA化:高リスクミドルウェアは優先度を上げる
6-2-4. クラウド特有のガードレール
- IAMの最小権限とキーのローテーション
- Budget/Costアラートと使用量ダッシュボード
- CSPMでの設定監査(公開ストレージ、公開管理面、脆弱サービス露出)
- テンプレート化(IaC)で設定ブレを排除
だから、設定不備由来のクリプトジャッキングを構造的に減らせます。
6-2-5. インシデント対応Runbook(雛形)
- 検知:メトリクス/SIEMでアラート
- 封じ込め:該当端末・VPC・コンテナをネットワーク隔離
- 根絶:永続化ポイント(タスク・サービス・crontab・コンテナ)を除去
- 復旧:ゴールデンイメージから再展開、キー再発行、パスワードリセット
- 再発防止:侵入経路の修正(パッチ、WAF、CSP・SRI、Egress制御)と監視強化
その結果、短時間で業務影響を最小化できます。
6-2-6. ポリシーと教育(人の対策)
- 受信メールの取り扱い標準(添付の既定ブロック、マクロ無効、別経路確認)
- 拡張機能ガイドライン(業務許可リスト+月次棚卸し)
- 管理画面公開ルール(VPN越し/IDプロバイダ必須)
- 月次のセキュリティレポート(CPU高止まり端末、長時間フロー、コスト異常の共有)
参考テンプレート(企業向け・検知ルール例)
| レイヤ | ルール例 | 目的 |
|---|---|---|
| エンドポイント | “新規自動起動の追加”を検知 | 永続化の早期発見 |
| ネットワーク | 同一外部IPへの30分超接続 | マイニングプール接続の検出 |
| DNS | 未知ドメインの反復解決+短TTL | ドメインローテーションの発見 |
| クラウド | 日次コスト+30%、新規高性能VMの即時通知 | 不正スケールの早期察知 |
スポンサーリンク
