クラウド環境において、マイニングウイルスは CPU などのリソースを悪意を持って消費し、インスタンスの遅延や応答の低下、さらにはリモート接続が不能になるといった事態を引き起こします。これは、ビジネスの中断、データ漏洩、リスクの拡散につながる可能性があります。Security Center を使用するか、パスワードやキーのリセット、IP アドレスのブロックといった手動の対処および保護戦略を実行することで、迅速に被害を封じ込め、再感染を防ぐことができます。
マイニングウイルスのアラート
無料のセキュリティ強化が有効になっているインスタンスでは、マイニングプログラムが検出されると、Security Center は SMS またはメールでアラートを送信します。[セキュリティアラート] ページに移動して、マイニングプログラム のアラートを確認してください。

マイニングプログラムは、持続的に高い CPU 使用率を維持します。したがって、インスタンスの遅延、応答の低下、またはリモート接続が不能になること は、多くの場合、感染の最初の兆候です。リモート接続の問題をトラブルシューティング中に異常に高い CPU 負荷に気づいた場合は、このトピックを参照して調査と修復を行ってください。
マイニングウイルスが原因でサーバーが初めてシャットダウンされた場合、[セキュリティコントロールイベント] ページに移動して自分でロックを解除できます。
サーバーのロックを解除した後は、速やかにマイニングプログラムを駆除する必要があります。マイニング活動が再度検出された場合、サーバーはシャットダウンされてロックされ、自分でロックを解除することはできなくなります。
マイニングウイルスの対処と駆除
感染したサーバーの隔離
感染した ECS インスタンスは、そのセキュリティグループルールを変更して、パブリックネットワークと SSH アクセスを制限することで隔離できます。
-
ログインして、ECS コンソールのセキュリティグループページに移動します。
-
対象の ECS インスタンスが属するセキュリティグループを見つけ、そのセキュリティグループ ID をクリックして管理ページに移動します。
-
セキュリティグループのルールページで、RDP や SSH ポートなど、パブリックアクセスを許可するすべてのインバウンドルールを見つけます。これらのルールのソースを、特定の信頼できる IP アドレスからのみアクセスを許可するように変更します。
説明セキュリティグループルールの変更は、そのセキュリティグループにバインドされているすべての ECS インスタンスに影響します。変更が意図せず他のインスタンスに影響を与えないことを確認してください。
悪意のあるプログラムの駆除
マイニングプログラムは完全に駆除することが困難な場合が多いです。重要なデータをバックアップした後、クラウドディスクの再初期化 を行い、プログラムが完全に駆除されるようにすることを推奨します。
Security Center
前提条件
-
Security Center を使用してマイニングウイルスの脅威に対処するには、Security Center の Anti-virus、Advanced、Enterprise、または Ultimate Edition を購入する必要があります。また、Enterprise Edition の 7 日間無料トライアルを有効化して、必要なセキュリティ機能を利用することもできます。
-
感染したサーバー上の Security Center エージェントがオンラインであることを確認してください。詳細については、「エージェントのインストール」と「オフラインエージェントのトラブルシューティング」をご参照ください。
ステップ 1:即時封じ込め
Security Center の セキュリティアラート 機能を使用して、悪意のあるプロセスを終了させ、ウイルスファイルを隔離することで、マイニングプログラムを迅速に停止します。
-
セキュリティセンターコンソールにログインします。
-
左側のナビゲーションペインで、を選択します。コンソールの左上隅で、アセットのリージョンを選択します。
-
マイニングアラートの 詳細 列で、詳細 をクリックしてアラートの詳細を表示します。
Security Center コンソールで、基本情報、イベントの説明、および 機能を使用して、マイニングプログラムを特定し、他のアラートや不審なファイルがないか確認します。マイニングアラートをトリガーしたファイルが、正規のビジネスファイルか悪意のあるファイルかを判断する必要があります。マイニングプログラムが、マイニングプールとの通信や悪意のあるドメイン名へのアクセスなど、他のアラートイベントに関連している場合は、それらをまとめて処理することをお勧めします。
-
[アラートの処理] をクリックします。表示されたダイアログボックスで、[ウイルス検出と削除] を選択し、ビュー をクリックします。
同じタイプまたは同じルールによってトリガーされた複数のアラートを処理するには、[類似のアラートを同時に処理] を選択します。
-
セキュリティアラートリストで、マイニングプールとの通信動作など、クリプトマイニングイベントによって生成された他の派生アラートに対して [ブロック] 操作を実行します。
Security Center は、サーバーからマイニングプールへのアクセスをブロックするポリシーを生成します。これにより、セキュリティイベントに対処するための十分な時間が確保されます。また、手動でマイニングプールの IP アドレスをセキュリティグループに追加してアクセスをブロックすることもできます。セキュリティグループルールを追加する方法については、「セキュリティグループルールの追加」をご参照ください。
-
セキュリティアラートリストで、プロセスの異常な振る舞いに関するアラートをチェックし、異常なスケジュールされたタスクを見つけて対処します。
ステップ 2:ディープスキャン
Security Center の ウイルス検出と削除 機能を使用してアセットをスキャンします。この機能は、自動起動項目やスケジュールされたタスクなど、マルウェアの永続化メカニズムをスキャンしてクリーンアップできます。
-
[セキュリティセンターコンソール]にログインします。
-
左側のナビゲーションペインで、 を選択します。コンソール左上で、アセットのリージョンを選択します。
-
[ウイルス検出と削除] ページで、[今すぐスキャン] または [再スキャン] をクリックします。[スキャン設定] パネルで、スキャンモードとスキャン範囲を設定し、OK をクリックします。
[スキャンモード] を [クイックスキャン] に設定し、[スキャン範囲] でマイニングプログラムに攻撃されたサーバーを選択します。
-
スキャンが完了したら、[ウイルス検出と削除] ページの対象アラートの 操作 列で、プロセス をクリックします。
-
[アラートの処理] パネルで、[ディープスキャン] を選択し、次へ をクリックします。
システムがアラートを処理した後、結果とステータスを表示できます。

セキュリティ検出
Security Center のエージェントレス検出機能を使用して、ECS インスタンスのシステムディスクとデータディスクの包括的なセキュリティスキャンを実行します。この機能は検出のみをサポートし、修復は提供しません。リスク詳細ページの手順に基づいて、検出されたリスクに手動で対処する 必要があります。エージェントレス検出は従量課金機能です。詳細については、「エージェントレス検出」をご参照ください。
手動での駆除
駆除操作を行う前に、サーバーのスナップショットを作成して、操作ミスによるデータ損失を防ぎます。
Linux
-
悪意のあるネットワーク通信のブロック
ホスト上でマイニング活動を発見した後、最初のステップは、トロイの木馬のネットワーク通信をブロックして、その影響を即座に抑えることです。完全なインシデント対応には時間がかかる場合があります。
-
次のコマンドを実行して、現在のシステムのネットワーク接続状態を表示します。
netstat -antp
-
次のコマンドで、
c2_addressを、通常の業務で使用されていない不審なリモートアドレス (Foreign Address) に置き換えます。次に、コマンドを実行して、サーバーと不審なアドレス間のすべてのネットワーク接続をブロックするファイアウォールルールを追加します。iptables -A INPUT -s c2_address -j DROP iptables -A OUTPUT -d c2_address -j DROP
-
-
マイニングプログラムとその関連ファイルの削除
マイニングプログラムは完全に駆除することが困難な場合が多いです。重要なデータをバックアップした後、クラウドディスクの再初期化 を行い、プログラムを完全に駆除してください。
-
Windows
-
PowerShell で、次のコマンドを実行して、CPU 使用率に基づいて不審なマイニングプロセスを特定します。
ps | sort -des cpu While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls} -
次のコマンドを実行して、マイニングプロセスのファイルパスと起動コマンドのパラメータを表示します。
wmic process where processid=xxx get processid,executablepath,commandline,name // xxx はプロセス PID を示します -
マイニングプロセスを終了し、マイニングファイルを削除します。
-
次のコマンドを実行して、ホスト上の不審なネットワークポートを確認します。
netstat -ano | findstr xxx // xxx は不審なネットワークポートを示します -
次のコマンドを実行して、hosts ファイルにマイニングプログラムが使用するマイニングプールアドレスが含まれているかどうかを確認します。
type C:\Windows\System32\drivers\etc\hosts -
次のコマンドを実行して、マイニングプログラムによって設定されたスケジュールされたタスクを確認します。
schtasks /query
推奨事項
駆除後、再感染を防ぐために以下の推奨事項に従ってください:
-
パスワードとキーのリセット:インスタンスのパスワードまたはキーが侵害された可能性があります。再感染を防ぐために、すべてのユーザーパスワードと SSH キーを速やかに変更してください。ログオン資格情報としてパスワードを使用する場合は、脆弱なパスワードの使用を避けてください。
-
脆弱性の修正:既知の脆弱性にパッチを適用し、オペレーティングシステムや Redis、Jenkins などのアプリケーションに定期的にセキュリティアップデートを適用します。
-
データのバックアップ:インシデント後の迅速な復旧を可能にするために、重要なデータとシステム構成のスナップショットを定期的に作成します。
関連ドキュメント
マイニングプログラムに対する防御のベストプラクティス:Cloud Firewall の IPS モジュールは、脆弱性インテリジェンスと仮想パッチを使用して、ほとんどのマイニングワームからのネットワークエクスプロイトを追跡および防御し、ウイルスの拡散をブロックします。
よくある質問
「Operation not permitted」エラーの修正方法
一部のマイニングウイルスは、スケジュールされたタスクや自動起動項目などの永続化ファイルを書き込んだ後、ファイルが削除されるのを防ぐために、これらのファイルに不変 (immutable) 属性を設定します。

上図に示すように、 chattr -i [filename] コマンドを実行して属性を削除し、その後ファイルを削除します。
マイニングプログラムが再発する原因
これは通常、メインのウイルスプログラムのみが削除され、その永続化メカニズム (スケジュールされたタスクや自動起動サービスなど) が削除されなかったために起こります。ウイルスはこれらのバックドアを使用して自身を再ダウンロードして実行するため、再発します。「悪意のあるプログラムの駆除」の手順に従って、すべての永続化の方法を徹底的に調査してください。




