水飲み場攻撃は、攻撃対象となる組織のユーザーがよく閲覧するサイトを改ざんし、マルウェアをダウンロードさせて感染させる標的型攻撃の一種です。
ダウンロードしたユーザーは、マルウェアによりさらにバックドアなどを知らない間に作られてしまい、情報漏えい、あるいは感染端末を踏み台にされてしまうなどの被害にあいます。
水飲み場攻撃は、どのようにしたら予防できるのでしょうか。
一つは、サイトの運営者である企業が、サイト改ざんを防ぐこと、もう一つは、企業内でサイバー攻撃に対する基本的対策が徹底されることが有効と考えられています。
攻撃の特徴・パターンと、対策について紹介しますので、不足している対策がないか、一度この記事でチェックをしてみてください。
水飲み場型攻撃とは
攻撃対象となる組織のユーザーがよく閲覧しているWebサイトを改ざんし、マルウェアをダウンロードさせて感染させようとする標的型攻撃の一種です。特定の組織のメンバーなどが、いつも閲覧するWebサイトが攻撃対象になることが通常です。
野生動物が水を飲みに来た時に、大型の肉食獣が攻撃のターゲットにする様子に似ていることから、水飲み場攻撃と呼ばれます。
メンバーがアクセスするサイトを知っていて、攻撃を仕掛ける場合と、IPアドレスなどから訪問者の所属組織や属性を判定し、攻撃対象を特定することもあります。
標的以外の利用者がサイトに訪れても何も起きないこともあり、攻撃が発覚しにくい点も特徴です。
水飲み場型攻撃の手口
水飲み場攻撃は、情報収集から、ターゲットを定め、Webサイトを改ざん、そしてターゲットに攻撃を加える一連の流れを指しており、それぞれの段階で何を攻撃者が行うか知って対策すると有効と考えられます。
ターゲットの情報を集める
ターゲットの情報を集めるために関係部署を狙うことや、社外との接点が多いところを狙うこともあります。SNSなども活用し、ターゲットが訪問しそうなサイトを調べたり、IPアドレス情報なども集めます。
この情報収集により、攻撃の準備・ターゲットの絞り込みを行います。
Webサイトを改ざんする
ターゲットが訪問するWebサイトの脆弱性を確認し、脆弱性が発見されたサイトがあればインジェクション攻撃などによりWebサイトを改ざんします。改ざんにより、マルウェアがダウンロードされる仕掛けを作ります。
サイトの脆弱性がなく、改ざんが難しい場合には、偽サイトを作り、ユーザーを誘導することもあります。
ターゲットを攻撃する
ターゲットがWebサイトを訪問した時にマルウェアをダウンロードさせます。ドメインやIPなどから個人を特定してマルウェアに感染させるユーザーを特定し、ピンポイントで狙うこともできます。
マルウェアは組織内に侵入し、バックドアを作ってユーザーが気付かないうちに機密情報を外部に送信したり、あるいは遠隔地から端末を操作、被害を拡大させたりします。
感染した端末を乗っ取られてしまい、攻撃の踏み台にされて、攻撃の加害者に仕立てられることもあります。
水飲み場型攻撃の事例
水飲み場攻撃の代表的な事例は、米国の政府系のサイトに対する攻撃や、各国の金融機関に対して仕掛けられたマルウェアRATANKBAを使った攻撃などが知られています。
米連邦政府の人事管理局の情報流出
2015年6月、何者かが米連邦政府の人事管理局(OPM)にサイバー攻撃を仕掛け、連邦政府職員などの個人情報が2000万人規模で流出した事件が発生しました。
流出した情報には、500万人以上の指紋情報や政府職員の家族の個人情報なども含まれ、米国史上最悪の情報漏えい事件といわれています。
この攻撃の原因は、水飲み場攻撃を含む複数の攻撃とされています。
米労働省のWebサイトを狙った攻撃
2013年に米労働省のWebサイト「Site Exposure Matrices(SEM)」が狙われた事件です。労働省の有害物質情報を公開するWebサイトにJavaScriptが仕込まれ、ユーザーに悪質なコードをダウンロードさせていました。このコードは、ユーザーの特徴を調べるために使われていました。
この攻撃は、Internet Explorer 8のゼロデイ脆弱性を悪用し、マシンをマルウェアの「Poison Ivy」に感染させていたものであり、ブラウザの拡張機能と、ウイルスソフトウエアをチェックする仕掛けを使っていたものとみられます。
ちなみに、同じころ、日本でもニュースサイトの閲覧者を攻撃する大規模な水飲み場攻撃が発生しています。
マルウェアRATANKBAによる金融機関への攻撃
2017年2月に海外で発生、特定のWebサイトが改ざんされ、そこから不正なプログラムが拡散していました。
ポーランドの金融機関へのマルウェア攻撃から発覚、RATANKBAによるものであることが初めて特定されました。が、ポーランドのみならずメキシコ、ウルグアイ、英国、チリなど他国の金融機関で同様にRATANKBAによる被害が発生しており、これらの事例にも同じ加害者・加害者グループが関連していたと考えられています。
いまだに、RATANKBAの亜種による攻撃が行われていますが、近時の攻撃は組織というより、特定の個人を標的にしているようです。現在、解明が進んでいるRATANKBA亜種の攻撃では、所属の組織よりも特定の地域に被害者が集中していたことが報告されています。
水飲み場攻撃の対策
水飲み場攻撃に対する対策は、被害者にならないこと、また企業のWebサイトが、攻撃に利用されないようにすることの両面で行われることが必要です。
基本対策の徹底
次のような、サイバーセキュリティ基本対策をまず徹底しておく必要があります。
怪しいメール・リンクはクリックしない
メールをトリガーにして個人の情報を窃取すること、あるいはメールが攻撃の一部に使われることが考えられるので、怪しいメール、添付ファイルは開かない、知っている相手からのメールであってもリンクをクリックする際はURLを確認することを徹底しましょう。
ファイアウォールの設置
侵入防止は、不正な通信の確立に対する対抗策となります。
OSやウィルス対策ソフトは最新版に保っておく
サイトの脆弱性対策には、OS・ブラウザなどの最新版へのアップデートが必須です。脆弱性をなくし、サイト改ざんを予防、マルウェアをダウンロードさせる仕掛けを作らせないためです。
情報の暗号化
情報を持ち出されても中身を見られないように暗号化し、万が一の漏えいの事態に備えましょう。機密情報のファイルにパスワードを設定することは基本ですが大事なことです。
外部への送信防止
遠隔操作や、通信傍受のデータは、外部送信データをチェックすると検出できることがあります。
通信ログを監視して、不正な通信を検知・遮断することが有効ですが、特にこうした記録・検知・遮断にはツールを利用すると、人手で行う場合より効率的でより安全な対策となります。
また、重要データの入ったサーバーはネットワークを分離すると感染拡大を防げます。
Webサイトの改ざんに対する社員教育
リンクのURL確認、不審なサイトは訪問しないなどの基本的なサイバー攻撃には、なかなか当事者意識ができにくいところが悩みの種です。当たり前と思っている場合でも、実は組織の多くのメンバーができていない、という実態があることも珍しくはありません。
望ましい意識の醸成に時間をかけ、工夫して当事者意識を持ってもらうことが重要です。
座学の教育や、E-learning、あるいは、問題を解かせて正しい答えを理解してもらうなどの工夫で望ましい方向に意識を変えていくことが必要です。
Webサイト運営者は改ざん対策にWAFなどの導入を検討
特定のユーザーに人気があり、個人や数人のWebサイト運営者で管理しているようなニュースサイトは、水飲み場攻撃のターゲットにしやすいといわれています。
Webサイトの運営者は改ざん対策が必須であり、WAF(Web Application Firewall)などの導入で、早期に攻撃を検知、通信を遮断できるような体制を作っておいた方が安全です。
クラウドWAFは、初期費用が低額で、ランニングコストも必ずしも高額ではないことから、IPAも中小企業にも積極的に導入することを推奨しています。
まとめ
水飲み場攻撃は、一つの攻撃ではなく、サイト改ざんに始まり、連続で複数の攻撃を仕掛け、ついにターゲットの攻撃に至ると、大きな被害を出す可能性があります。
サイトのユーザー、運営者それぞれにしておくべき対策がありますが、サイバー攻撃に対して基本的な対策を徹底すること、またご紹介したような対策を1つでなく重ねて行っておくことが有効と考えられます。特に後者のほうはサイト改ざんを防ぐため、WAFの設置が有効と考えられます。