水飲み場型攻撃(Watering Hole Attack)とは、
攻撃対象とする特定分野の企業や組織のユーザーが普段よく利用するWebサイトを改ざんし、マルウェアに感染させる標的型攻撃手法のことです。
『水飲み場』と表現されているのは、『野生動物が集まる水飲み場』をイメージしており、
そのそばで待ち伏せして水を飲みに来た動物を襲うなどといった、
自然界でライオン等の肉食獣が獲物を捕らえる狩りの手法と似ていることから、名付けられたのが由来となっています。
この攻撃の主な手口・感染・被害の流れとしては、以下の5ステップとなります。
①攻撃者が、よくユーザーに閲覧されているWebサイトを調査し、侵入できるWebサイトを更に調査
②攻撃者が特定の業界や企業がよく利用する、侵入できるWebサイトを改ざん
③ユーザーがWebサイトを閲覧
④攻撃者がOSやアプリケーションの脆弱性に対する攻撃
⑤ユーザー端末がマルウェア感染
この攻撃の特徴として、不特定多数を攻撃するのでなく、標的対象とする企業や組織の従業員に限定して、
従業員がよく利用する分野のWebサイトを狙い、不正アクセスにより改ざんするところにあります。
そのため、
改ざんの発覚からマルウェアの検知までに時間がかかることがあります。
改ざんされたWebサイトを閲覧したユーザーは、攻撃によりマルウェアに感染させられてしまい、
所属する対象企業や組織に関連した情報を搾取されてしまう恐れがあります。
攻撃によっては、改ざんされたページでアクセスしてきた端末のIPアドレスをチェックし、
攻撃対象をさらに特定の組織に絞り込んで、マルウェアの拡散範囲を限定する場合もあります。
水飲み場型攻撃では、ユーザーが普段から信頼してよく利用している正規サイトに罠が仕掛けられるため、攻撃を受けたことに気付きにくい点があります。
未公表の未知の脆弱性に対する『ゼロデイ攻撃』によって、パッチなどを適用していたとしても、マルウェアの感染を防げない場合があります。
攻撃が成功してしまうと、侵入したネットワーク内に『バックドア型不正プログラム』が設置され、
そこを出入口として、攻撃者によりユーザー端末が遠隔制御されてしまいます。
ユーザー端末内の個人情報や機密情報等を盗まれる可能性はもちろんのこと、
感染したユーザー端末を『踏み台』として、組織内部のネットワークや関係者に対しての諜報活動やマルウェアの感染活動などが行われる恐れもあります。
水飲み場型攻撃に対しての主な対策と注意点としては、
『Webサイト管理者の対策』と『Webサイト閲覧者の対策(ユーザー)』の2者の側面から以下の各3点の対応が必要です。
【Webサイト管理者の対策】
①サーバーやミドルウェア等、Webアプリの脆弱性を解消すること。
②Webアプリケーションファイアウォール(WAF)や改ざん検知ツールを活用すること。
③Webサイト管理用のアカウントが奪われないように、適切に管理すること。
【Webサイト閲覧者の対策(ユーザー)】
①OSやアプリケーションを最新版にし、脆弱性を解消すること。
②ウイルス対策ソフトを常に最新の状態で利用すること。
③マルウェアによる外部との不正通信を検知及び遮断すること。
また、一般的なセキュリティ対策はもちろんのこと、『ゼロデイ攻撃』の可能性も踏まえた上で、
マルウェアによる不正通信を検知する仕組みを導入する必要があります。
Webサイトの管理者は、自社のサイトが『水飲み場』として攻撃者に利用されないように、
不正アクセスや改ざん等への対策を徹底する必要があります。
Webサイト閲覧者であるユーザーは、こうした攻撃を防ぐために、
『不審なサイトには訪問しない』『セキュリティ対策ソフトで常に検知出来る状態にしておく』ことがとても有効な対策となります。
水飲み場型攻撃の被害に遭わないように、普段から対策をしっかりと行うことを意識し心がけることが大切です。
参考:
水飲み場型攻撃 | サイバーセキュリティ情報局 (canon-its.jp)
水飲み場型攻撃とは?事例や対策方法を徹底解説|サイバーセキュリティ.com (cybersecurity-jp.com)
