攻撃対象とする特定分野の組織やユーザーがよく利用するWebサイトを改ざんし、マルウェアに感染させる標的型攻撃の一種
水飲み場型攻撃(英:Watering Hole Attack)とは、攻撃対象とする特定分野の企業や組織のユーザーが普段利用するWebサイトを改ざんし、マルウェアに感染させる攻撃手法のこと。「水飲み場」とは、野生の動物が集まる水飲み場をイメージしており、その傍で待ち伏せし、水を飲みに来た動物を襲う肉食獣の狩りの手法と似ていることから名付けられた。
この攻撃の特徴は、不特定多数を攻撃するのではなく、標的とする企業や組織の従業員がよく利用する分野のWebサイトを狙い、不正アクセスにより改ざんするところにある。不特定多数ではなく、標的とする企業や組織の従業員に限定して攻撃をしかけるため、改ざんの発覚、マルウェアの検知までに時間がかかることがある。
改ざんされたWebサイトを閲覧した利用者は、ドライブバイダウンロード攻撃などによってマルウェアに感染させられ、所属する企業や組織に関する情報を搾取されてしまうおそれがある。攻撃によっては、改ざんページでアクセスしてきた端末のIPアドレスをチェックし、攻撃対象をさらに特定の組織に絞り込み、マルウェアの拡散範囲を限定する場合もある。
水飲み場型攻撃では、普段から信頼して利用している正規サイトに罠が仕掛けられるため、攻撃を受けたことに気付きにくい。また公表されていない未知の脆弱性に対する「ゼロデイ攻撃」により、パッチなどを適用していてもマルウェアの感染を防げない場合がある。
影響
攻撃が成功すると、侵入したネットワーク内にバックドア型不正プログラムが設置され、そこを出入り口として、攻撃者によって端末が遠隔制御される。端末内の個人情報や機密情報を盗まれる可能性はもちろん、感染した端末を踏み台として組織内部のネットワークや関係者に対する諜報活動やマルウェアの感染活動などが行われる恐れもある。
主な感染/被害の流れ
特定の業界や企業がよく利用するWebサイトが改ざん→Webサイトを閲覧→OSやアプリケーションの脆弱性に対する攻撃→マルウェア感染
主な対策と注意点
Webサイト管理者の対策
- サーバーやミドルウェア、Webアプリの脆弱性を解消する
- Webアプリケーションファイアウォール(WAF)や改ざん検知ツールを活用する
- Webサイト管理用のアカウントが奪われないよう適切に管理する
Webサイト閲覧者の対策
- OSやアプリケーションを最新版にして脆弱性を解消する
- ウイルス対策ソフトを常に最新の状態で利用する
- マルウェアによる外部との不正通信の検知および遮断
一般的なセキュリティ対策はもちろんだが、ゼロデイ攻撃の可能性も踏まえ、マルウェアによる不正通信を検知するしくみを導入する必要がある。またWebサイトの運営者は、自社のサイトが「水飲み場」として攻撃者に利用されないよう、不正アクセスや改ざんへの対策を徹底する必要がある。
