サーバーをハッキングされて勝手に仮想通貨をマイニングさせられていた体験談が話題に

「自分の契約しているサーバーがハッキングされて勝手に仮想通貨「Monero(モネロ)」のマイニングに使われていた」という体験談をソフトウェアエンジニアのジェイク・サンダース氏が投稿しました。

I got hacked, my server started mining Monero this morning. | Unfinished Side Projects
https://blog.jakesaunders.dev/my-server-started-mining-monero-this-morning/

サンダース氏はドイツに拠点を置くホスティング企業「Hetzner」のサーバーを契約し、ブログやウェブサイトを公開していました。ところが、2025年12月17日にHetznerから「攻撃の兆候を確認しました」「問題の原因と今後の対応を確認できない場合、サーバーがブロックされる可能性があります」というメールを受け取ったとのこと。メールにはタイからの不正アクセスを示すログも添付されていました。

サンダース氏はサーバーの状況を調査するべくプロセス情報を表示するコマンド「ps aux」を実行しました。その結果、以下のようにCPUに819％という猛烈な負荷がかかっていることが判明。プロセス名にはMoneroのマイニングツールであるxmrigの名前が記されており、2025年12月7日から10日間にわたって何者かがサンダース氏のサーバーに不正アクセスしてMoneroをマイニングしていたことが明らかになりました。

さらに調査を続けた結果、マイニングプロセスがアナリティクスツール「umami」のコンテナ内で実行されていることが突き止められました。この不正アクセスは「CVE-2025-66478」として報告されているNext.jsの脆弱(ぜいじゃく)性が原因だったとのこと。

サンダース氏は12月上旬に「Next.jsの脆弱性が原因でサーバーがハッキングされてMoneroのマイニングに悪用された」という他人の投稿を目にしていましたが、「自分はNext.jsを使っていないから大丈夫」と考えて特に対策を行っていませんでした。しかし、umamiはNext.jsで構築されており、脆弱性を突かれて不正アクセスされてしまったということです。

問題の原因を究明したサンダース氏は、対策を講じてHetznerに連絡し、サーバーを引き続き利用できるようになりました。サンダース氏は今回の不正アクセスを受けて「自分が使っているソフトウェアの依存関係をしっかり確認する」という教訓を得たとのこと。umamiについては最新バージョンにアップデートして利用を続けるそうです。

なお、「サーバーがハッキングされてMoneroのマイニングに悪用されていたと」いう事例は日本でも報告されています。以下のリンク先では個人開発用に契約していたEC2がMoneroのマイニングに悪用されていた経緯や対応策が解説されています。

個人開発のEC2が乗っ取られてMoneroを掘られていた話【CVE-2025-55182】｜ねころこ
https://note.com/nekoroko/n/n729421e1cf8d