サイバー攻撃には様々な手口がありますが、その中でも特定の組織やグループを狙い撃ちにする巧妙な攻撃手法の一つに「水飲み場攻撃」があります。この記事では、水飲み場攻撃とは何か、どのような仕組みで攻撃が行われるのか、過去の事例や対策方法について、初心者の方にも分かりやすく解説します。
水飲み場攻撃とは?
水飲み場攻撃(みずのみばこうげき、Watering Hole Attack)とは、攻撃対象の組織や個人が頻繁にアクセスするWebサイトを事前に調査し、そのサイトを改ざんしてマルウェア(悪意のあるソフトウェア)を仕掛けておく攻撃手法です。ターゲットがそのWebサイトを訪れると、自動的にマルウェアに感染させられます。
この攻撃の名前は、肉食動物が獲物を待ち伏せする「水飲み場」に由来しています。ライオンなどの捕食者は、草食動物が水を飲みに来る水飲み場に潜み、やってきた獲物を襲います。それと同様に、攻撃者はターゲットがよく訪れるWebサイト(水飲み場)で待ち伏せし、アクセスしてきたターゲットを攻撃することから、この名前が付けられました。
標的型攻撃の一種ですが、ターゲットの組織へ直接メールを送るなどの方法ではなく、ターゲットが自らアクセスするのを待つという特徴があります。
水飲み場攻撃の仕組み
水飲み場攻撃は、一般的に以下のステップで実行されます。
- ターゲットの特定と行動分析: 攻撃者は、まず攻撃対象とする組織や個人のグループを決定します。そして、そのターゲットグループが業務上または日常的に、どのようなWebサイトを頻繁に利用しているかを調査します。
- Webサイトの選定と改ざん: ターゲットがよく利用するWebサイトの中から、セキュリティ対策が比較的弱いサイトを選び出します。そして、そのWebサイトの脆弱性を悪用して不正アクセスを行い、マルウェアを仕込むためのコードを埋め込みます。改ざんされるサイトは、必ずしも有名サイトとは限らず、業界団体のサイトや小規模なブログなども標的になり得ます。
- ターゲットのアクセスとマルウェア感染: ターゲットの従業員などが、何も知らずに改ざんされたWebサイトにアクセスします。すると、仕掛けられたコードが実行され、利用者のコンピュータのOSやブラウザの脆弱性を突いて、自動的にマルウェアがダウンロード・実行されます。多くの場合、利用者はマルウェアに感染したことに気づきません。
- 攻撃の実行: マルウェアに感染したコンピュータは、攻撃者によって遠隔操作されたり、機密情報を盗まれたり、他のシステムへの攻撃の踏み台にされたりします。
この攻撃の厄介な点は、ターゲットが普段から利用している信頼している(と思っている)Webサイトが攻撃の起点となるため、警戒心が薄れやすく、被害に遭いやすいことです。
水飲み場攻撃の目的
水飲み場攻撃の主な目的は、他の標的型攻撃と同様に、以下のようなものが挙げられます。
- 機密情報の窃取: 企業の内部情報、顧客情報、技術情報などを盗み出す。
- 金銭の窃取: オンラインバンキングの情報などを盗み、不正送金を行う。近年ではランサムウェア(身代金要求型ウイルス)を感染させる目的も増えています。
- システムの破壊・妨害: ターゲット組織のシステムを停止させたり、業務を妨害したりする。
- 他の攻撃への利用: 感染させたコンピュータを踏み台にして、さらなる攻撃を行う。
水飲み場攻撃の事例
過去には、実際に水飲み場攻撃による被害が発生しています。以下にいくつかの事例を紹介します。
| 発生時期(推定含む) | 概要 |
|---|---|
| 2012年 | 米国の外交問題評議会(CFR)のWebサイトが改ざんされ、特定のバージョンのInternet Explorerの脆弱性を悪用するマルウェアが仕掛けられました。この攻撃は、大手IT企業などがターゲットになったとされています。 |
| 2013年 | 大手IT企業(Facebook, Apple, Microsoftなど)の従業員が利用するモバイル開発者向けWebサイトが改ざんされ、Javaの脆弱性を利用してマルウェアに感染させられました。 |
| 2016年 | ポーランドの金融監督当局のWebサイトが改ざんされ、アクセスした国内の銀行がマルウェアに感染する事例が発生しました。正規サイトが悪用されたため、多くの銀行が被害を受けました。 |
| 2017年 | ウクライナやロシアなどの企業を狙った攻撃で、会計ソフト開発会社のWebサイトが改ざんされました。正規のソフトウェアアップデートに見せかけてマルウェア(NotPetyaランサムウェア)が配布され、広範囲な被害を引き起こしました。 |
| 2019年 | 香港の民主化活動に関連する複数のWebサイトが改ざんされ、アクセスしたユーザーの情報を盗むマルウェアが仕掛けられました。特定のグループを標的とした典型的な水飲み場攻撃でした。 |
これらの事例からも分かるように、水飲み場攻撃は政府機関、大手企業、特定の活動家グループなど、様々な組織や個人をターゲットにしています。
水飲み場攻撃への対策
水飲み場攻撃は、利用者が信頼しているサイトが悪用されるため、完全に防ぐことは難しい側面もありますが、被害のリスクを低減するために、利用者側とWebサイト運営者側の両方で対策を講じることが重要です。
利用者側の対策
- OS・ソフトウェアのアップデート: 利用しているパソコンやスマートフォンのOS、ブラウザ(Chrome, Firefox, Edgeなど)、プラグイン(Java, Flash Playerなど)、その他のソフトウェアを常に最新の状態に保ち、脆弱性を解消する。
- セキュリティソフトの導入と更新: 信頼できる総合セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ。不審な挙動を検知し、マルウェアの実行を防ぐ効果が期待できます。
- 不審な挙動への注意: Webサイトの表示がいつもと違う、意図しないファイルのダウンロードが始まるなどの不審な挙動に気づいたら、すぐにアクセスを中断する。
- アクセス制限: 業務に関係のないWebサイトへのアクセスを制限する(企業向け)。URLフィルタリングなどの導入も有効です。
- 教育と注意喚起: 従業員に対して、水飲み場攻撃の手口や危険性について教育し、注意喚起を行う。
Webサイト運営者側の対策
- Webサイトの脆弱性対策: 使用しているCMS(WordPressなど)やサーバーソフトウェア、ミドルウェアの脆弱性情報を常に収集し、速やかにアップデートやパッチ適用を行う。
- WAF(Web Application Firewall)の導入: Webサイトへの不正なアクセスや攻撃を検知・防御するWAFを導入する。
- 改ざん検知システムの導入: Webサイトのファイルが不正に書き換えられていないかを定期的にチェックし、改ざんを早期に発見できる仕組みを導入する。
- アクセスログの監視: 不審なアクセスがないか、Webサーバーのアクセスログを定期的に監視する。
- 適切なアクセス権限の設定: Webサイトの管理権限を必要最小限にし、パスワードを複雑にするなどの基本的なセキュリティ対策を徹底する。
まとめ
水飲み場攻撃は、ターゲットが日常的に利用するWebサイトを悪用する、非常に巧妙で発見しにくいサイバー攻撃です。利用者としては、OSやソフトウェアを常に最新に保ち、セキュリティソフトを活用することが基本的な対策となります。Webサイト運営者は、自サイトのセキュリティ対策を強化し、改ざんされないように努めることが重要です。
インターネットを利用する上で、どのようなWebサイトにもリスクが潜んでいる可能性があることを認識し、日頃からセキュリティ意識を高めておくことが、水飲み場攻撃のような脅威から身を守る第一歩となります。