情報セキュリティマネジメント試験 科目A キーワード集 > 水飲み場攻撃
概要
水飲み場攻撃(Watering Hole Attack)とは、攻撃対象の組織や人物がよく閲覧するWebサイトをあらかじめ改ざんしておき、そのサイトを訪れた標的を感染させる標的型攻撃の一手法です。
肉食動物が、獲物が集まる「水飲み場」で待ち伏せする様子になぞらえた名前です。標的に直接メールを送る代わりに、標的が自ら訪れる場所に罠を仕掛けて待つ受動的な手口である点が特徴です。
詳細(仕組み)
- 攻撃者が標的の行動を調査し、よく訪れるサイト(業界団体・取引先など)を特定する。
- そのサイトの脆弱性を突いて改ざんし、不正なコードを仕込む。
- 標的がサイトを閲覧すると、ドライブバイダウンロードなどで自動的にマルウェアに感染する。
- 多くは標的のIPアドレス等を判定し、狙った相手だけを感染させて発覚を遅らせる。
水飲み場攻撃のキーワードは「
標的がよく見るサイトを改ざんし、訪問者を感染させる」。
標的型攻撃の一種で、メールではなく
正規サイト経由で待ち伏せる点が違いです。
対策
- OS・ブラウザ・プラグインを最新に保ち、ドライブバイダウンロードの脆弱性をふさぐ。
- EDR・振る舞い検知で、改ざんサイト経由の不審な動作を検知する。
- 不要なスクリプト・プラグインの実行を制限する。
- (サイト運営側)自サイトが改ざんされ「水飲み場」にされないよう、脆弱性管理・改ざん検知を行う。
- 多層防御で、感染しても被害を内部で食い止める。
インシデント事例
業界団体サイトの改ざん
特定業界の企業を狙うため、その業界の人がよく訪れる団体や専門サイトが改ざんされ、訪問した企業の端末が感染させられる事例が報告されています。狙った相手だけを感染させる巧妙さで発覚が遅れました。
正規ニュースサイト経由の感染
多くの人が閲覧する正規サイトが改ざんされ、閲覧者がマルウェアに感染する事例もあります。信頼しているサイトでも安全とは限らないことを示しました。
試験での問われ方
- 「標的がよく閲覧するサイトを改ざんし、訪問者を感染させる攻撃はどれか」→ 水飲み場攻撃。
- 標的型攻撃メールとの違いを問う識別問題。