こんな症状が出ていたら要注意

以下はKaspersky、Malwarebytes、IBM、Zscalerの各社がクリプトジャッキング・マルウェア感染の代表症状として挙げているものです。

  • サイトの表示が急に遅くなった(読み込みに通常の数倍かかる)
  • サーバーのCPU使用率が常時高い(80〜100%で張り付く)
  • サーバーが頻繁にクラッシュする、または応答しなくなる
  • サーバー会社から『リソース使用量が異常』という通知が来た
  • 電気代(サーバー利用料金)が急に上がった
  • 管理画面にアクセスしてもすぐに応答しない
  • 複数のユーザーから『サイトが重い』と指摘される

IBMによると、2023年のクリプトジャッキングは前年比659%増。単なる『サーバーのスペック不足』と片付ける前に、感染を疑ってください。

原因①:クリプトジャッキング(仮想通貨マイニング)

最も多いのが、サーバーの処理能力を乗っ取って仮想通貨を採掘する『クリプトジャッキング』です。攻撃者はあなたのサーバーで計算を行い、採掘した仮想通貨を自分のウォレットに送ります。あなたは電気代(サーバー利用料)と処理性能の劣化を負担させられます。

  • ブラウザベース型:サイトにアクセスしたユーザーのCPUをJavaScriptで一時的に奪う
  • ホストベース型:サーバー自体にマルウェアをインストールして常時稼働させる
  • Zscalerの調査では、アダルト・ストリーミング・企業サイトが攻撃元のトップ
  • Monero(モネロ)という追跡困難な仮想通貨が好んで使われる

攻撃者の目的は『気づかれないまま長期間採掘すること』です。ランサムウェアのように目立つ被害を与えず、あなたのサーバー資源をじわじわ奪い続けます。

原因②:一般的なマルウェア感染

クリプトジャッキング以外のマルウェアもサイトを遅くします。

  • スパムメール配信マルウェア:あなたのサーバーから何千通ものスパムを送信する踏み台にする
  • DDoS攻撃の加害者化(ORB化):IPAが注意喚起する『他組織への攻撃に加担』する状態
  • ボット化:常時、攻撃者のC2サーバーと通信し続ける
  • 不正なJavaScript注入:リダイレクトハックと併用されることが多い

IPAは2025年度のGW注意喚起で、ネットワーク貫通型攻撃による『ORB化』を重大リスクとして挙げています。感染すると、意図せず他組織への攻撃の中継点になり、自社の法的責任も問われかねません。

原因③:感染経路

サーバーがマルウェアに感染する経路は主に以下です。

  • プラグイン・テーマ・CMSの脆弱性を突かれた(WordPressでは2024年に7,966件の新規脆弱性)
  • VPN装置やファイアウォールの脆弱性
  • 管理者アカウントのパスワードが漏えいして不正ログインされた
  • 古いOSやソフトウェアに既知の脆弱性が残っていた
  • フィッシングメールから従業員のPCが感染し、そこからサーバーに侵入
  • サプライチェーン攻撃(2026年4月のEssentialPlugin事件が好例)

確認と対処の手順

ステップ1:症状を客観的に確認する

  • サーバー管理画面からCPU使用率の推移を確認する(急に上がった日を特定)
  • アクセス数とCPU使用率のグラフを重ねて見る(アクセスに比例していなければ異常)
  • 帯域使用量(ネットワーク通信量)も併せて確認する(常時の外部通信があれば疑う)
  • Google Search Consoleに警告が出ていないか確認する

ステップ2:感染源を特定する

  • サーバーのプロセス一覧で身に覚えのないプロセスがないか確認
  • wp-config.php、index.php、.htaccess などの更新日時を確認(自分で編集していない日付があれば要注意)
  • WordPressなら管理画面のユーザー一覧に身に覚えのない管理者がいないか確認
  • アクセスログで異常な外部IPからの接続がないか確認

ステップ3:緊急対応

  • 感染が確認できたら、サイトを一時的にメンテナンスモードにする
  • すべての管理者パスワードを変更する(強いパスワード+パスワードマネージャー)
  • FTP・SSH・データベースのパスワードも変更する
  • 侵害前のバックアップがあれば復元を検討する
  • サーバー会社のサポートに報告する(ORB化していた場合は法的リスクがある)
  • 自力対応が難しければ、マルウェア駆除の専門業者に依頼する

ステップ4:再発防止

  • CMS、プラグイン、テーマ、サーバーOSを最新版に更新する
  • 使っていないプラグイン・テーマ・アカウントを削除する
  • すべての管理者アカウントに二段階認証を設定する
  • 管理画面にIPアドレス制限をかける
  • WAF(Web Application Firewall)を導入する
  • 定期的なマルウェアスキャンを設定する
  • バックアップを取得し、ネットワークから切り離された場所に保存する

『サーバーのスペック不足』と判断する前に

サイトが急に遅くなったとき、多くの方がまず『サーバーのスペックを上げるしかないか』と考えます。しかし、スペックを上げても感染を駆除しなければ、新しいサーバーのリソースも同じように奪われます。月々のサーバー代だけが増え、問題は解決しません。

スペック増強や移転を検討する前に、まず感染の有無を確認してください。

取引先にも早めに共有を

自社のサーバーが感染してORB化していた場合、取引先を攻撃する中継点になっている可能性があります。感染が疑われる段階で、取引先に状況を共有し、自社からの通信を精査してもらうことも重要です。

まず確認すべきこと

サーバー内部の感染確認と並行して、外部から見たサイトのセキュリティも確認してください。セキュリティヘッダー、SSL/TLS設定、公開情報の露出などに不備があれば、攻撃者が次に狙う侵入口になります。

Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。マルウェア感染の対処と並行してご活用ください。

出典

Kaspersky『What is Cryptojacking & How does it work?』: https://www.kaspersky.com/resource-center/definitions/what-is-cryptojacking

Malwarebytes『Cryptojacking – What is it, and how does it work?』: https://www.malwarebytes.com/cryptojacking

IBM『What is Cryptojacking?』(SonicWall 2024報告を含む): https://www.ibm.com/think/topics/cryptojacking

Zscaler『What Is Cryptojacking & How Does It Work?』: https://www.zscaler.com/zpedia/what-is-cryptojacking

IPA『2025年度 ゴールデンウィークにおける情報セキュリティに関する注意喚起』: https://www.ipa.go.jp/security/anshin/heads-up/alert20250421.html