水飲み場型攻撃とは?被害を最小化するために知るべき攻撃手順と対策

 標的型攻撃は巧妙化の一途をたどっています。最近では不審なメールへの対策も強化されてきていますので、攻撃側も警戒されない、より自然な方法で攻撃を仕掛けてきます。水飲み場型攻撃もその一つで、私たちの習慣化された行動の中に罠を仕掛けることでマルウェアに感染させようとします。水飲み場型攻撃の攻撃手順とその対策についてご紹介します。


1. 水飲み場型攻撃とは

 水飲み場型攻撃とは、攻撃対象となる組織のユーザーが普段アクセスするウェブサイト(つまり、水飲み場)を特定し、そのサイトを改ざんし、ドライブバイダウンロード攻撃(Webブラウザーを通じて、ユーザーに気付かれないように悪意のあるソフトウェアをダウンロードさせる攻撃手法)などを利用してマルウェアに感染させようとする標的型攻撃の一種です。
 水飲み場型攻撃は、IPアドレスなどから訪問者の所属組織や属性を判定し、攻撃対象を特定することもあります。そのため、標的以外の利用者がサイトに訪れても何も起きないこともあり、攻撃が発覚しにくいという特徴もあります。
 なお、水飲み場型攻撃は、英語ではwatering hole attackといい、野生動物などが水を飲みにやってくる水飲み場をさします。「たまり場型攻撃」と訳されることもあります。Water hole とは、攻撃者を肉食動物、攻撃対象となる企業や組織のユーザーを草食動物に見立て、草食動物が集まる水飲み場のそばで、肉食動物が獲物を待ち伏せする様子になぞらえ、こう呼ばれるようになったといわれています。


2. 水飲み場型攻撃の手順と被害

2-1 標的を特定する

 はじめに、標的となる組織や個人を特定します。機密情報搾取のため、関係部署を直接狙うこともあれば、侵入後に社内サーバーを探索することを想定して、社外との接点が多いところを狙うことも想定されます。いずれにしても、通常、最初に攻撃対象を特定するステップから始まります。

2-2 偵察をする

 標的組織の取引先のサイトや標的の社員が情報収集のためによく訪問するサイトなど、標的が訪問しそうなウェブサイトを調べます。また、標的を特定するためにIPアドレス情報なども集めます。

2-3 ワナを仕掛ける

 標的がよく訪問するウェブサイトの脆弱性を確認し、改ざんできるサイトがあればそこに罠を仕掛けます。また、脆弱性がなかったとしても、偽サイトを作ってそこにユーザーを誘導します。

2-4 攻撃の実施

 改ざんしたサイトで標的のユーザーを待ち受けて、訪問した際にマルウェアをダウンロードさせます。標的の特定や偵察の段階でターゲットを定めている場合は、ドメインやIPなどから個人を特定して狙ったユーザーを確実にマルウェアに感染させることができてしまいます。

2-5 侵入する

 水飲み場で感染させることに成功したマルウェアは、組織内に侵入し、ユーザーが気づかないうちに機密情報を外部に送信したり、遠隔地から端末を操作したりします。また、感染した端末を踏み台にされて攻撃の加害者になってしまうこともあります。


3. 対策

 この攻撃は組織内のインターネットユーザーが日常的に訪れるサイトに罠がしかけられることから、入口が不特定多数に及びます。例えば不審なメールへの対応はきちんとしていても、サイトへのアクセスという習慣的な行動を利用されますので回避しにくい特徴があるといえます。
 侵入されないための対策はもちろんのこと、侵入された場合に持ち出しをされないための出口対策も必要です。以下に代表的な対策例を記載します。

3-1 入口対策

 マルウェアの侵入を防ぐために基本的な対策は徹底しましょう。
・怪しいメール、添付ファイルは開かない
・知っている相手からのメールであってもリンクをクリックする際はURLを確認する
・ファイアウォールの設置による侵入防止
・OSやウィルス対策ソフトは最新版に保っておく

 水飲み場型攻撃は人間の習慣を利用した攻撃であることから、個々人が攻撃を受けるリスクを認識し、標的にされている緊張感を持つ必要があります。セキュリティ部門による技術的な対策だけでなく、社員教育といった人的対策も注力したいところです。

3-2 出口対策

 攻撃が組織内部に到達してしまうことを前提として、端末に入り込んだマルウェアが外部と通信をすることを防ぐなど出口対策もしっかり行っておくことも必要です。
・外部送信データのチェック(持ち出しの監視)
・通信ログを監視して、不正な通信を検知・遮断する
・持ち出されても中身を見られないように暗号化する(機密情報のファイルにはパスワードを設定する)

 また、内部に侵入したマルウェアは社内ネットワークの探索を行い重要データを盗もうとしますので、重要データの入ったサーバーはネットワークを分離しておくことで内部での感染拡大を防ぐことができます。

3-3 自社サイトの脆弱性診断

 自社サイトが水飲み場になり、攻撃に使われてしまうリスクもありますので、定期的にサイトの診断を行うことも重要です。またサイトの常時SSL化なども検討しましょう。


4. まとめ

 水飲み場型攻撃といった場合、未知の脆弱性を突くゼロデイ攻撃が話題になることもありますが、実際にはゼロデイ攻撃よりも既知の脆弱性を突いた攻撃も多く、ソフトウェアを最新の状態にしておくなど、まずは基本的な対策を怠らないことが大切です。
 水飲み場型攻撃のような明確に対象を絞った標的型攻撃はなくなることはなく、むしろ増えていく前提で対策をしたほうが良いでしょう。各端末での基本的なウィルス対策、社員教育、入口対策・出口対策といった多層的なアプローチで被害を最小化する体制を構築していきましょう。

著者:マカフィー株式会社 マーケティング本部

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速