水飲み場攻撃（Watering Hole Attack）とは？仕組み・対策・事例をわかりやすく解説

📖

Overview

水飲み場攻撃（Watering Hole Attack）とは、標的とする組織や集団が日常的にアクセスするWebサイトを事前に調査・特定し、そのサイトを改ざんしてマルウェアを仕込むことで、標的を効率的に感染させるサイバー攻撃手法です。自然界で肉食動物が水飲み場に集まる獲物を待ち伏せる行動に由来して、この名称が付けられています。

この攻撃の特徴は、攻撃者が標的に直接メールを送信するのではなく、標的が自発的に訪問するWebサイトを介して間接的に攻撃を行う点にあります。正規のWebサイトが悪用されるため、ユーザーは不審なリンクをクリックした自覚がなく、ドライブバイダウンロードによってブラウザの脆弱性を突かれ、知らないうちにマルウェアに感染してしまいます。

水飲み場攻撃は、APT（Advanced Persistent Threat）グループが好んで使用する高度な攻撃手法の一つです。特定の業界団体のWebサイト、専門的なフォーラム、ニュースサイトなどが標的となることが多く、標的組織のセキュリティ対策が堅固で直接的な攻撃が困難な場合に、迂回経路として利用されます。検知が極めて困難であり、ゼロデイ脆弱性と組み合わせて使用されるケースも少なくありません。

🔬

Details

攻撃の計画と標的プロファイリング

水飲み場攻撃の第一段階は、標的組織に関する綿密なプロファイリングです。攻撃者はOSINT（オープンソースインテリジェンス）を駆使して、標的組織の従業員がどのようなWebサイトを頻繁に訪問するかを調査します。業界団体のポータルサイト、技術フォーラム、専門ニュースサイト、学会のWebサイトなどが主な調査対象となります。

さらに、SNSの投稿分析、LinkedInのプロフィール調査、公開されている講演資料や論文の参照先など、多角的な情報源から標的の行動パターンを把握します。この段階で得られた情報の精度が、攻撃全体の成功率を大きく左右します。

Webサイトの改ざんとエクスプロイトキット

標的が訪問するWebサイトを特定した攻撃者は、そのサイトの脆弱性を探索し、Webサーバーへの侵入を試みます。CMSの脆弱性、管理者アカウントの乗っ取り、サプライチェーン攻撃など、様々な手法でサイトの改ざん権限を取得します。

改ざん後、攻撃者はエクスプロイトキットと呼ばれるツールをサイトに埋め込みます。エクスプロイトキットは、訪問者のブラウザやプラグインのバージョンを自動的に判定し、該当する脆弱性に対するエクスプロイトコードを配信する仕組みです。JavaScriptの挿入やiframeの埋め込みによって、ユーザーが気付かないうちに悪意のあるコードが実行されます。

ドライブバイダウンロードの仕組み

ドライブバイダウンロード（Drive-by Download）は、ユーザーが改ざんされたWebサイトを閲覧しただけで、マルウェアが自動的にダウンロード・実行される攻撃手法です。ブラウザ本体やJava、Flash Player、PDFリーダーなどのプラグインに存在する脆弱性が悪用されます。

攻撃者は、ユーザーのブラウザ環境を検出するフィンガープリンティング技術を用いて、攻撃対象を絞り込むことがあります。これにより、標的組織で使用されている特定のブラウザバージョンのみを攻撃し、セキュリティベンダーやサンドボックスによる検出を回避します。

水飲み場攻撃の検知手法

水飲み場攻撃の検知は非常に困難ですが、複数の層での防御と監視によって早期発見が可能です。ネットワーク監視では、社内端末から外部への不審な通信パターン（C2通信）やDNSクエリの異常を検知します。

エンドポイント検知（EDR）では、ブラウザプロセスからの異常な子プロセスの生成、予期しないファイルの書き込み、レジストリの変更などを監視します。また、脅威インテリジェンスの活用により、既知の水飲み場攻撃に使用されたIOC（Indicator of Compromise）との照合を行い、早期警戒を実現します。

標的型攻撃との関連性

水飲み場攻撃は、スピアフィッシングと並んで、APTグループが初期侵入に使用する主要な手法です。スピアフィッシングが個人を直接狙うのに対し、水飲み場攻撃はより広範囲な標的グループに対して一斉に攻撃を仕掛けることができます。

国家支援型のハッキンググループは、外交官が利用する国際機関のWebサイト、防衛産業の業界フォーラム、エネルギー分野の専門サイトなどを水飲み場として悪用してきた実績があります。これらの攻撃では、ゼロデイ脆弱性が頻繁に使用され、既存のセキュリティソリューションでは検知が困難な場合が多いです。

🛡️

Security Measures

01
ブラウザとプラグインの常時最新化：ブラウザ、OS、Java、PDFリーダーなどのすべてのソフトウェアを常に最新バージョンに更新してください。自動更新を有効にし、パッチ適用の遅延を最小限に抑えることで、既知の脆弱性を悪用するエクスプロイトキットの効果を大幅に低減できます。
02
Webフィルタリングとネットワーク監視の強化：プロキシサーバーやWebフィルタリングソリューションを導入し、不審なWebサイトへのアクセスやマルウェアのダウンロードをブロックしてください。DNSフィルタリングやSSLインスペクションを併用し、暗号化された通信内の脅威も検知できる体制を整えましょう。
03
エンドポイント検知・対応（EDR）の導入：EDRソリューションを全端末に導入し、ブラウザからの異常なプロセス起動やファイル操作を即座に検知・遮断してください。振る舞い検知により、シグネチャベースでは捉えられない未知の攻撃にも対応できます。
04
ネットワークセグメンテーションと最小権限の原則：社内ネットワークを適切にセグメント化し、万が一端末が感染した場合でも被害の拡大を防止してください。ユーザーアカウントには必要最小限の権限のみを付与し、管理者権限の使用を厳格に制限しましょう。
05
脅威インテリジェンスの活用：信頼性の高い脅威インテリジェンスフィードを購読し、既知の水飲み場攻撃で使用されたIPアドレス、ドメイン、マルウェアハッシュなどのIOC情報をセキュリティ機器に反映してください。業界ISACへの参加も有効です。
06
ブラウザ隔離技術の採用：リモートブラウザ分離（RBI）技術を導入し、Webコンテンツの実行をエンドポイントから分離してください。ブラウザのレンダリングをクラウドやサンドボックス環境で行うことで、ドライブバイダウンロードによるエンドポイント感染を根本的に防止できます。

⚠️

Incidents

📋 米国労働省Webサイトを悪用した水飲み場攻撃（2013年）

2013年、米国労働省（Department of Labor）の公式Webサイトが改ざんされ、水飲み場攻撃に悪用されました。攻撃者はInternet Explorerのゼロデイ脆弱性（CVE-2013-1347）を悪用するコードをサイトに埋め込み、エネルギー省関連の職員が訪問するページを標的としました。

このページを閲覧した訪問者の端末にはバックドア型マルウェア「Poison Ivy」が自動的にインストールされ、攻撃者によるリモートアクセスが可能な状態となりました。この攻撃は中国系APTグループによるものと分析され、エネルギー関連の機密情報の窃取が目的とされています。

📋 iOSデバイスを標的としたウイグル族への水飲み場攻撃（2019年）

2019年、Googleの脅威分析チーム（TAG）は、少なくとも2年間にわたりウイグル族コミュニティを標的とした大規模な水飲み場攻撃を公表しました。攻撃者はウイグル族が頻繁に訪問するWebサイトに14種類のiOS脆弱性を悪用するエクスプロイトチェーンを埋め込みました。

感染したiPhoneからは、メッセージ、写真、GPS位置情報、キーチェーンに保存されたパスワードなどが窃取されました。iOS 10から12までの幅広いバージョンが影響を受け、サイトを訪問するだけで感染する極めて高度な攻撃でした。この攻撃は国家レベルのアクターによるものと評価されています。

📋 ポーランド金融監督局を悪用した金融機関への攻撃（2017年）

2017年、ポーランドの金融監督局（KNF）の公式Webサイトが改ざんされ、同国および世界各国の金融機関を標的とした水飲み場攻撃に悪用されました。攻撃者はKNFのサーバーに悪意のあるJavaScriptを埋め込み、金融機関のIPアドレスレンジからアクセスした訪問者にのみマルウェアを配信しました。

この攻撃はLazarus Group（北朝鮮系APTグループ）によるものと帰属され、20か国以上の100を超える金融機関が標的リストに含まれていました。金融セクターの監督機関自体が攻撃基盤として悪用されたことは、水飲み場攻撃の巧妙さを象徴する事例です。

🔗