水飲み場型攻撃(Watering Hole Attack)とは何か?その対策について解説

2020年3月28日

水飲み場型攻撃とは

水飲み場攻撃の仕組みの画像
水飲み場型攻撃の仕組み

水飲み場型攻撃はアメリカのコンピュータセキュリティおよびネットワークセキュリティに関するソフトウェアの開発会社であるRSA社が認識し、公表した攻撃手法です。
水飲み場型攻撃では、ハッカーは攻撃対象に直接攻撃をするのではなく、攻撃対象が頻繁に利用するWebサイトを改ざんすることで攻撃をしかけます。

1.攻撃対象の行動調査

水飲み場型攻撃では、ハッカーは攻撃対象の行動を観察し、頻繁に訪れるWebサイトを特定します。
例えば、女性ものの衣服を販売する大規模なECサイトを運営する会社のスタッフに攻撃をしかけたいとします。
こうした会社のスタッフの行動を知るために通信を傍受したりして、どのようなWebサイトによくアクセスするのかを調べます。

2.Webサイトの改ざん

攻撃対象の調査が終わり、利用しているWebサイトが特定できたら、ハッカーはそのWebサイトに攻撃をしかけ、情報を改ざんし、マルウェアをダウンロードするような仕組みを設置します。
例えば、Webサイトに掲載されているバナーの見た目はそのままに、クリックしたらマルウェアがダウンロードされるような改ざんを行います。

3.攻撃対象がひっかかるのを待つ

マルウェアの設置が完了したら、ハッカーはあとは攻撃対象がマルウェアをダウンロードするのを待つのみです。
見た目はいつものWebサイトと変わりがないため、攻撃対象のユーザーは簡単にだまされてしまいます。

フィッシングに代わる新たなマルウェアの拡大手法

サイバー攻撃としてフィッシングは有名になりました。
フィッシングとは電子メールを使ってマルウェアを拡散していくサイバー攻撃ですが、有名になったがゆえに、メーラーのセキュリティも高くなり、ユーザーの意識も高くなってきました。
そうした中で新たにハッカーが目を付け始めたのが「水飲み場型攻撃」です。
今回はこの比較的新しいサイバー攻撃についてご紹介いたします。

何故ハッカーは水飲み場型攻撃を行うのか

水飲み場型攻撃はフィッシングと異なり、直接攻撃対象にマルウェアを送りつけるのではなく、よく訪問するWebサイトを改ざんするという、回りくどい攻撃をしています。
一見効率はよくないように見えますが、攻撃対象であるWebサイトの利用者がそのWebサイトを信じ切っているため、疑いなく改ざんされたバナーなどをクリックしてしまいます。

水飲み場型攻撃の対策

Webサイトの利用者側ではほぼ対応不可

ハッカーがWebサイトを改ざんしてしまった場合、水飲み場型攻撃の対策はどのように行えばよいのでしょうか。
実はこの対応は非常に難しく、Webサイトが改ざんされているかどうかはWebサイトの利用者側ではほとんどわかりません。
改ざんされたマルウェアのダウンロードボタンを押し、ブラウザに「ダウンロードしますか?」の警告メッセージが出たときに、「このリンクにファイルのダウンロードなんて必要あるかな?」と感じなければ、攻撃はハッカーの企み通りに成功してしまいます。
利用者側でできることと言えば、万が一ダウンロードしてしまった後に、ネットワークを切り離すなどして感染の拡大を防ぐという事後対応のみです。

Webサイト運営側の改ざん対策が肝心

上述の通り、水飲み場型攻撃はWebサイトの利用者側では対策のしようがありません。
そのため、Webサイトを運営する人たちが改ざん対策を厳重に行い、攻撃に備えなければなりません。
最近ではWebサイトの改ざん検知サービスも増えてきたので、改ざんが検知されたらWebサイトを表示させないなど、トラブルの際の対応が必要です。

どのようなサイトが水飲み場型攻撃に利用されるか

ユーザーの多い人気のWebサイトは当然攻撃の候補に挙がります。これまでFacebookやTwitterなどの大規模SNSも攻撃の脅威にさらされています。
しかし、大規模なWebサイトである場合、管理も厳重であるのが常です。例えばYahoo!のWebサイトを改ざんしようと思ったとしても、それは容易なことではありません。
そのため、そこまで一般的に人気があるわけではないものの、特定のユーザーに人気があり、個人や数人のWebサイト運営者で管理しているようなニュースサイトが水飲み場型攻撃の格好の的といえましょう。
そのため、規模の大小を問わず、Webサイトの運営者は改ざん対策をし、水飲み場型攻撃に使われないように注意する必要があります。管理画面のID・パスワードの管理を厳重にするだけでなく、WAFを導入し、改ざんを行うサイバー攻撃からWebサイトを守っていきましょう。

水飲み場型攻撃の名前の由来

水飲み場に集まる動物
水飲み場に集まる動物

最後に水飲み場型攻撃の名前の由来をご紹介いたします。
水飲み場型攻撃の言葉の由来は、ライオンなどの肉食動物が水飲み場で草食動物が現れるのを待ち、草食動物が水飲み場に集まってきたところを一網打尽にする狩りの手法から来ています。
つまり、人気のあるWebサイトに人が集まるのを待ち、そのサイトに改ざんを行うことで一気にマルウェアを拡散させる手法が、ライオンの狩りのスタイルに似ているということです。