こんな症状が出ていたら要注意

  • サイトの表示速度が突然遅くなった
  • サーバーのCPU使用率が常に高い(80〜100%)
  • サーバーやPCのファンが止まらない
  • クラウドの利用料金が急に増えた
  • バッテリーの減りが異常に早い
  • 特に重い処理をしていないのにサーバーが熱い

これらはクリプトジャッキング(暗号通貨の不正マイニング)の典型的な症状です。攻撃者はあなたのサーバーのCPUやGPUを乗っ取り、暗号通貨(主にMonero)を採掘しています。データは盗まれませんが、あなたの電気代と処理能力が攻撃者の収入源になっています。

実際に起きていること

2026年4月8日、セキュリティ研究チームCensys ARCが、AIの画像生成ツール(ComfyUI)のサーバー1000台以上がインターネットに認証なしで公開され、ハッカーに乗っ取られてマイニングに使われていたことを公表しました。

攻撃者はサーバーにマイニングソフト(XMRig、lolMiner)を設置し、MoneroとConfluxという暗号通貨を採掘していました。さらに、乗っ取ったサーバーをボットネット(遠隔操作ネットワーク)に組み込み、他の攻撃のインフラとしても利用していました。

同じ構造の攻撃は、AI用のチャットインターフェース(OpenWebUI)でも確認されています。Cybernewsの調査では、2024年末から14バージョンものマイニングマルウェアが発見され、多くのサーバーが数ヶ月間感染に気づかないまま稼働していました。

データは盗まれない。身代金も要求されない。だから気づかない。しかしあなたのサーバーの電気代と処理能力が、毎日攻撃者の財布に入っている。

なぜ気づけないのか

クリプトジャッキングが検知しにくい理由は3つあります。

  • データ盗難やランサムウェアと違い目に見える被害がない。『サイトが遅いだけ』で済むため調査しない
  • 最新のマイニングマルウェアはLinuxのカーネルスレッドに偽装し、psやtopなどの監視コマンドからも隠れる
  • マイニングの通信は正規のHTTPS通信に見せかけられるため、ネットワーク監視でも見逃しやすい

WordPressやCMSサイトも狙われている

今回の事件はAIサーバーが標的でしたが、クリプトジャッキングの手法はあらゆるWebサーバーに適用可能です。

  • 古いWordPressプラグインの脆弱性を突いてマイニングスクリプトを設置する
  • 管理画面にデフォルトパスワードでログインし、PHPファイルにマイニングコードを埋め込む
  • 訪問者のブラウザでJavaScriptマイナーを実行し、サイトを見ている人のCPUを使って採掘する
  • セキュリティヘッダー(CSP)が未設定なら、外部からのスクリプト注入を防げない

特にCSP(Content Security Policy)ヘッダーが設定されていないサイトは、外部ドメインからマイニングスクリプトを読み込まれるリスクが高くなります。

確認すべきチェックリスト

  • サーバーのCPU使用率を確認し、不審なプロセスがないかチェックする
  • 身に覚えのないプロセスや、暗号通貨マイニングプールへの通信がないか確認する
  • CSP(Content Security Policy)ヘッダーが設定されているか確認する
  • 管理画面のパスワードがデフォルトのまま放置されていないか確認する
  • CMSやプラグインが最新バージョンに更新されているか確認する
  • SSL/TLS設定が最新の推奨構成になっているか確認する
  • クラウドの請求額に不審な増加がないか確認する

まず確認すべきこと

『サイトが遅い』を放置していませんか? セキュリティヘッダー(特にCSP)の未設定は、マイニングスクリプト注入の直接的なリスクです。まず自分のサイトのセキュリティ設定を外部視点で確認してください。

Web検診では、セキュリティヘッダー(CSP含む)、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。

出典

SC Media(ComfyUI乗っ取り): https://www.scworld.com/brief/comfyui-instances-hijacked-for-cryptomining-and-proxy-botnet

Cybernews(OpenWebUI感染): https://cybernews.com/security/openwebui-ai-servers-hijacked-cryptomining-malware/

Malwarebytes(クリプトジャッキング解説): https://www.malwarebytes.com/cryptojacking

CSO Online(検知と対策): https://www.csoonline.com/article/564521/what-is-cryptojacking-how-to-prevent-detect-and-recover-from-it.html