クリプトジャッキングとは

ハッカーはクリプトジャッキング・コード（マルウェアの一種）を使用して、価値ある暗号通貨をコストをかけずに生産、収集します。基本的に、ハッカーは被害者をだまして、報酬を得ることなくリソースを消費させます。サイバーセキュリティーにおいて、クリプトジャッキングの脅威は増大しています。2024年版Sonicwallサイバー脅威レポートによると、 クリプトジャッキングのインシデントは2023年に659％増加しました。

暗号通貨をマイニングするためのリソースは高価になる場合があります。クリプトジャッキング攻撃が成功すると、被害者は知らないうちに暗号通貨マイニング・プロセスの費用負担を強いられる一方で、その利益はクリプトジャッカーが回収することになります。

クリプトジャッキング攻撃は、Web 経由で、ブラウザベースのクリプトジャッキング・スクリプトを通じて（WebページのJavaScriptコードに埋め込まれていることが多い）、あるいはソーシャル・エンジニアリングやフィッシング攻撃により、アプリやトロイの木馬型ウイルスとして配信されるクリプトジャッキング・マルウェアを通じて行われます。クリプトジャッキング・コードやクリプトジャッキング・ソフトウェアに感染したデスクトップ、ノートPC、サーバー、スマートフォン、その他のモバイル・デバイスは、性能が劇的に低下することが多く、ダウンタイムが発生するだけでなく、電気代も高くなります。

クリプトジャッキングは、他の種類のサイバー犯罪とは性質が異なります。データ窃盗やランサムウェア攻撃といったサイバー脅威は通常、ユーザー・データを盗んだり乗っ取ったりすることを目的としていますが、クリプトジャッキング・コードは処理能力と電力を事実上盗みます。クリプトマイニング・マルウェアは、検知を可能な限り長期間回避するように設計された、発見が困難な悪意のあるコードをターゲットに注入するよう設計されています。

• クリプトジャッキングの具体的方法：クリプトジャッキング攻撃は、悪意のあるクリプトマイニングとも呼ばれ、ユーザーのコンピューティング・デバイスや仮想マシン（VM）を乗っ取ろうとします。クリプトジャッキングは、疑いを持たない被害者から処理能力を密かに抽出し、デジタル通貨をマイニングすることで機能します。サイバー犯罪者は生成した暗号通貨の利益を回収する一方、生成に要した費用は被害者が負担するのです。

• クリプトジャッキングの影響： クリプトジャッキングの被害者は、電力コストの増加やシステム・パフォーマンスの低下に苦しみ、ハードウェアの損傷やオーバーヒートにつながる可能性があります。攻撃が成功すると、被害者のデータ・プライバシーが侵害され、他のサイバー脅威が発生することもあります。

• クリプトジャッキングの脆弱性：攻撃経路には、Webページ、Webブラウザー、ブラウザー拡張機能やプラグイン、IoT（モノのインターネット）デバイス、Eメール、その他のメッセンジャー型アプリなどがあります。マイニング・マルウェアは、一般的なオペレーティング・システムのほとんどに感染できます。ハッカーは、MicrosoftやYouTubeといった大手ソフトウェアやサービスプロバイダーさえも標的にしてきました。

• クリプトジャッキングの防御：クリプトジャッキング攻撃からの防御に推奨される方法は、 EDR（エンドポイントの検知と対応）、CDR（コンテンツの無害化と再構築）、ウイルス対策ソリューション、タスクマネージャーとCPU使用率の定期的な監視、サプライチェーン監査、広告ブロッカー、スクリプトブロッキング、スタッフの訓練、リアルタイムの脅威検出を組み合わせたものです。

暗号通貨とはデジタル資産の一種で、物理的なものではありませんが、従来の法定通貨のように商品やサービスと交換できます。暗号通貨の主なイノベーションは、仲介者を必要とせずに当事者間で資金を直接送金できることです。暗号通貨は、ブロックチェーン技術を使用して作成されます。

ブロックチェーンとは仮想的な台帳のようなもので、特定のブロックチェーン・システムを使用して行われたすべてのトランザクションを記録します。暗号通貨のブロックチェーンはオープンソースであることが多く、誰でも基礎となるコードを調べられます。

ブロックチェーン・システムは、暗号通貨だけでなく、あらゆる種類の記録を追跡・検証する必要があるその他の用途にも役立ちます。さらに、機密情報を追跡するシステムでは、プライベート・ブロックチェーンを採用できます。

• ブロックチェーン：ブロックチェーンとは、共有される変更不可能なデジタル台帳で、ネットワーク内のトランザクションを記録・追跡し、検証済みの真のデータを提供する単一の情報源をとして使用されます。

• 暗号通貨：暗号通貨とは、ブロックチェーンに保管されている暗号化されたコード・ブロックを復号化することによって生成されるデジタル資産です。暗号通貨の単位はよくトークンまたはコインと呼ばれ、コインを復号化し、ブロックチェーンのトランザクションを検証するためにコンピューティング・リソースや電力を消費するユーザーへの報酬として用いられます。

• マイナー： クリプトマイナー（単にマイナーとも呼ぶ）とは、クリプトマイニング・ソフトウェアを実行して、新しいトークンを生成し、オンチェーン・トランザクションを検証するユーザーのことです。

ブロックチェーンを非常に強力にしているのは分散化です。ビットコインで使用されるようなパブリック・ブロックチェーンは、単一のソースに保管されるわけではありません。代わりに、ブロックチェーンは任意の数のノードに複製されます。そして、異なるコンピューター・システムが、それぞれ共有ブロックチェーンの有効性を検証するクリプトマイニング・ソフトウェアを実行します。

トランザクションがブロックチェーン上で実行される場合、トランザクションが全体的な台帳に書き込まれる前に、特定のノードのしきい値に基づいてトランザクションを検証する必要があります。このプロセスにより、各トランザクションが正当なものであることが保証され、二重支払いや詐欺などのデジタル通貨にまつわる一般的な問題が解決されます。個々のユーザーのIDは匿名である場合がありますが、パブリック・ブロックチェーン上のすべてのトランザクションは公開され、だれでもアクセスできます。

暗号通貨の場合、ブロックチェーンは一部のトークン（コイン）も保管します。このコインは、ハッシュ・ブロックと呼ばれる複雑な数学的計算により暗号化されています。新しいコインを生成するには、ブロックチェーン上のユーザーが、コンピューティング・リソースを各ハッシュの復号化に費やす必要があります。このプロセスはクリプトマイニングと呼ばれ、通常は膨大な処理能力が必要です。自分のリソースを使用して新しいコインを生成し、他のユーザーのトランザクションを検証するユーザーはマイナーと呼ばれます。

暗号ハッシュを解読してトランザクションを検証するには、ハードウェアと電力の両面でコストが高額になることがあります。コインは、ハードウェアやエネルギーのコストを支払うマイナーのための報酬です。ハッシュ・ブロック全体を復号化するには、トランザクションを検証するよりもはるかに多くのリソースが必要になります。そのため、トランザクションの検証は、より少額のレートで支払われます。このレートは、必要なリソースに関連づけられたトランザクションの価値の割合に応じて計算されます。

合法的な暗号通貨マイニング活動では、高額な電力コストや高価なハードウェアにより多額の運用コストが生じることがあります。高価なハードウェアの一例としては、グラフィックス処理装置（GPU）が挙げられます。これは、標準的な中央処理装置（CPU）が提供できる以上の処理能力と効率性を実現するように設計されたものです。ただし、ビットコインなどの一部の暗号通貨では、膨大なエネルギーとコンピューティング能力が必要とされますが、モネロなど他の通貨ではそれよりはるかに少なくて済みます。

クリプトジャッカーの試みが成功すれば、多くの被害者のCPU（またはあらゆる種類のプロセッサー）を勝手に利用できることがあります。使われていないCPUサイクルを効果的に盗んで、それをクリプトマイニングの計算に使用し、入手したコインを自分の匿名デジタル・ウォレットに送信できます。低速なプロセッサーであっても、それを数多く合わせれば、大量の暗号通貨を生成できます。クリプトジャッカーは、これを（ターゲットのコンピューターにマルウェアに感染することによって）直接的に行うことも、（ユーザーが感染したWebサイトにアクセスしている間にプロセッサー・サイクルを盗むことによって）間接的に行うこともあります。

効果的なクリプトジャッキングには主に3つのタイプがあり、独立して使用することも、ハイブリッドなアプローチを採ることもできます。より高度なタイプのクリプトジャッキング・コードは、ワーム・ウイルスのように動作して、接続されたリソースに感染し、自身のコードを変更して検知を回避できます。クリプトジャッキングの3つのタイプを以下に挙げます。

• ブラウザベースのクリプトジャッキング：このタイプのクリプトジャッキングは、ウェブブラウザ上で直接実行されるため、被害者が他のソフトウェアをインストールする必要はありません。悪意のあるクリプトジャッキング・コードが組み込まれたWebサイトを閲覧するだけで、被害者のリソースが密かにクリプトマイニングに流用される可能性があります。

• ホストベースのクリプトジャッキング：ホストベースのクリプトジャッキングとは、ターゲットのデバイスまたはシステムにダウンロードされたクリプトジャッキング・マルウェアを指します。このタイプのクリプトジャッキングでは、ユーザーがソフトウェアをダウンロードして保存する必要があるため、検知が容易になります。ただし24時間稼働するため、電力消費量が増え、リソースの消耗が激しくなることもあります。

• メモリベースのクリプトジャッキング：メモリベースのクリプトジャッキングは、ブラウザベースやホストベースのクリプトジャッキングよりも検知が難しく、希少です。このタイプは、コード・インジェクションやメモリー改ざんなどの高度な技術を使用して、証拠を残すことなくリアルタイムでRAMをクリプトマイニングに使用します。

攻撃のタイプに応じて、ほとんどのクリプトジャッキング・インシデントは、おおよそ4段階のプロセスをたどります。

クリプトジャッキング攻撃の最初の段階は、ターゲットを悪意のあるコードにさらすことを中心に展開します。サイバー犯罪者がクリプトジャッキングを行うには、被害者のシステムに何らかのクリプトジャッキング・スクリプトを導入する方法を見つけなければなりません。

これは、ターゲットを騙してクリプトマイニング・プログラムをダウンロードさせるフィッシングEメールのような形をとることもあれば、信頼できるWebサイトにあるJavaScript対応の広告と同じくらい無害な場合もあります。

悪意のあるコードがターゲットのシステムに侵入すると、デプロイメントの段階が始まります。このフェーズでは、クリプトマイニング・スクリプトはバックグラウンドで実行を開始し、可能な限りスクリプト自体に注意が向かないようにします。クリプトジャッキング・スクリプトが気付かれない時間が長ければ長いほど、収益性が高まります。

「最善」のクリプトマイニング・スクリプトは、ターゲットのシステムの性能に目立った影響を与えることなく、できるだけ多くの処理能力を奪い取るように設計されています。比較的低いコンピューティング・パワーを使用するスクリプトをデプロイすることは、検知を回避するのに役立つため、クリプトマイナーにとっては最善の策ですが、クリプトジャッキング・コードは本質的に貪欲なものです。システム性能に負担をかけ、消費電力の増加をさせてリソースを占有することがよくあります。

デプロイメントの段階が完了すると、マイニングの段階が始まります。デプロイメントの成功後、クリプトジャッキング・コードはターゲットのリソースを使用して暗号通貨をマイニングし始めます。マイニングでは、新しいコインを生成するため複雑な暗号ハッシュを解くか、ブロックチェーンのトランザクションを検証して暗号通貨の報酬を獲得します。

これらの報酬はすべて、クリプトジャッカーが管理するデジタルウォレットに送られます。クリプトジャッキングの被害者には、費やしたリソースから生成された暗号通貨を請求するすべがありません。

暗号通貨は、従来型の資産よりも追跡が困難です。匿名性の高さはコインによって異なりますが、クリプトジャッキングによって採掘された通貨を回収することは不可能といえます。パブリック・ブロックチェーン上で行われた取引は公知のものではありますが、不正に得た暗号通貨からサイバー犯罪者を特定することは困難です。また、分散型金融（DeFi）ツールは、クリプトジャッカーの追跡をさらに困難にすることがあります。これらのツールによって、暗号通貨の保有者が暗号通貨リソースをプールして、従来型の投資機会のように機能し、初期資本を引き出すことなく配当を支払う、流動性プールのようなツールに投資できます。これらのツールは多くの合法的な投資家のために設計され、使用されていますが、悪意のある人物は暗号通貨の非中央集権的な性質を利用して痕跡を隠すことができるのです。

侵入は常にクリプトジャッキング攻撃の最初のステップです。クリプトジャッキングは危険なサイバー犯罪であるのは、ハッカーがクリプトジャッキング・コードを送信する方法が数多くあるためです。ハッカーがターゲット被害者のシステムに侵入できる方法には、次のようなものがあります。

• フィッシング：フィッシングEメールには、マルウェアのダウンロードをトリガーするリンクが含まれている場合があります。デジタル商品券に見せかけ、実際にはマルウェアが含まれているリンクを被害者がクリックすると、気付かぬうちに悪意あるクリプトマイニング・ソフトウェアをインストールしてしまいます。

• システムの誤構成：後悔されている構成の過った仮想マシン（VM）、サーバー、コンテナは、不正なリモートアクセスを取得しようとするハッカーにとって格好の標的となります。いったん侵入すれば、経験豊富なサイバー犯罪者にとって、クリプトジャッキング・ソフトウェアのインストールはたわいもない作業です。

• 侵害されたWebアプリケーション： たとえ信頼できるプロバイダーや善意のプロバイダーからであっても、セキュリティーで保護されていないポートを使用してWebアプリケーションにアクセスすると、被害者のシステムがクリプトジャッキング・コードにさらされる可能性があります。

• 感染したブラウザー拡張機能：アドオンやプラグインとも呼ばれるブラウザー拡張機能は、ユーザーのWebブラウジング体験を改善およびカスタマイズするために使用される比較的小さなソフトウェア・プログラムです。広告ブロッカーやパスワード・マネージャーなどの拡張機能は、ほぼすべての一般的なWebブラウザー（Google Chrome、Microsoft Edge、Mozilla Firefox、Apple Safariなど）で利用できます。ほとんどの拡張機能は安全ですが、有名で広く使用されている拡張機能であっても、悪意のある攻撃者によって注入されたクリプトジャッキング・コードによって侵害されることがあります。評判の高い拡張機能開発者はサイバーセキュリティーのベスト・プラクティスに従う傾向がありますが、絶えず進化するサイバー脅威環境では、ハッカーは非常に信頼できる開発者をも常に狙い、場合によっては侵入に成功しているのです。ゼロデイ・エクスプロイトなどの技術を使用して、ハッカーは信頼性の高い開発者のソフトウェアにクリプトジャッキング・ソフトウェアを注入できます。さらに簡単な方法として、ハッカーは、よく精査された有用な拡張機能ではなく、ユーザーを騙してマルウェアをダウンロードさせるように設計された、偽物の拡張機能を作成できます。

• 危殆化したJavaScript：JavaScriptで書かれたコードは、クリプトジャッキングの影響を受けやすくなります。ハッカーは、一見安全に見えるJavaScriptライブラリーをアップロードしたり、ライブラリーにウイルスを感染させたりすることができ、それを知らない被害者が侵害されたコードをダウンロードした際に侵入できます。

• 内部脅威：不満を抱えた従業員や十分な訓練を受けていない従業員、認証情報が盗まれた脅威アクターなどの内部脅威も、クリプトジャッキングの一般的な攻撃経路です。

• クラウドベースの攻撃：ネットワーク化されたクラウド・コンピューティングシステムにより、サイバー犯罪者の攻撃経路は飛躍的に増加しますが、クリプトジャッキングも例外ではありません。大規模言語モデル（LLM）などのクラウドベースの人工知能（AI）アプリケーションが最近急増し、継続的に増加していることで、1つのノードに侵入してネットワーク全体に広がることができるクリプトジャッキング攻撃の機会はさらに増しています。

個人にとっては、他のタスクに使用しているコンピューターのバックグラウンドでクリプトマイニング・ソフトウェアを実行しても儲かりません。しかし、大規模になると、こうした小さな収益が積み重なります。多くのシステムに感染させることができれば、ハッカーはクリプトジャッキングで利益を得られます。ハードウェアや電力コストを支払わないので、クリプトハッカーは丸儲けです。

一般的に、クリプトマイニングはリソースを大量に消費する処理であるため、正規のクリプトマイナーはほとんどの場合、専用の最上位ハードウェアを使用して運用を行います。一部のエンタープライズ・グレードや消費者向けのハードウェアもクリプトマイニングに対応していますが、マイニング作業に費やすコンピューティング・リソースを90％未満にすることは、ベスト・プラクティスに反しています。

専用のクリプトマイニング・リグの構築と運用に関連するコストを理由に、愛好家はメインライン・ハードウェアでマイニングを行うようになりましたが、そうすることで大きな利益が得られることはほとんどありません。そして、そのような活動からの利益は、集中的なマイニング計算を実行するための消費電力コストだけでなく、高価なハードウェアの損耗によっても大幅に削られることが多いものです。

企業や大組織にとって、業務の速度低下やデータ・プライバシー侵害の可能性など、クリプトジャッキングによるコストはさらに大きくなります。クリプトジャッキングがビジネスに及ぼす主な影響は次のとおりです。

クリプトジャッキング攻撃はバックグラウンドで動作し、なるべく長期間にわたって気付かれないように設計されています。そのため、クリプトジャッキングのコードを検出することは困難です。ただし、システムが悪意のあるクリプトマイニング・ソフトウェアに感染した可能性を示す兆候はいくつかあります。

• 電力消費量の不可解な増加：クリプトマイニング・ソフトウェアは非常に多くの電力を消費するため、突然の不可解な消費電力急増は、不正なクリプトマイニングが行われている可能性があります。

• デバイスのオーバーヒート：クリプトマイニングによりハードウェアが熱くなります。システム・ハードウェアのオーバーヒートが起こっている場合や、ファンや冷却システムがより多く作動している場合は、クリプトジャッキング攻撃の症状である可能性があります。

• 原因不明の速度低下： クリプトジャッキングはリソースを浪費し、全体的な動作を低下させます。システムが通常のコンピューティング・タスクを完了するのに苦労するということは、クリプトジャッキングの一般的な兆候です。

• 高いCPU使用率： クリプトジャッキング攻撃の可能性を示す1つの指標は、負荷が低いはずのオペレーションでCPU使用率が通常より高くなることです。

クリプトジャッキングへの防御には、包括的なアプローチが必要ですが、このアプローチは幸いなことに、セキュリティー・ハイジーンを保つ主なサイバーセキュリティー戦略の多くと一致するものです。一般的かつ効果的な防御策を以下に挙げます。

• 徹底した人材育成：どのようなサイバー脅威でもそうであるように、人為的ミスは最も頻繁に発生し、かつ潜在的に深刻な被害をもたらす攻撃経路です。フィッシング攻撃、安全なブラウジング、ファイル共有に関するトレーニングと教育は、クリプトジャッキングに対する防御手段の第一線です。

• EDR（エンドポイントの検知と対応）およびCDR（コンテンツの無害化と再構築）ソリューション：クリプトジャッキングにおいては、感染したシステムが悪意のある人物と通信する必要があるため、ソフトウェアをスキャンしてサイバー犯罪の既知の兆候がないか調べられる一般的なウイルス対策ツールがクリプトジャッキングに対して効果的です。

• JavaScriptの無効化：JavaScriptはクリプトジャッキングの格好の攻撃経路であるため、すべてのJavaScriptを無効にすることは効果的な防御策となります。