Ataques de watering hole - Comprometiendo sitios de confianza

Lectura de 2 min aprox.

水飲み場攻撃 (Watering Hole Attack) とは、標的となる組織や業界の 従業員が頻繁にアクセスする Web サイトを事前に特定・改ざんし、 訪問者の端末にマルウェアを 感染させる標的型攻撃の一種です。 野生動物が水飲み場に集まるのを待ち伏せする捕食者に例えて命名されました。 2024 年にも国家支援型の攻撃グループによる水飲み場攻撃が 複数の業界団体サイトで確認されており、依然として活発な攻撃手法です。

現場での使用例

「業界団体の会員向けポータルサイトが改ざんされ、 当社の従業員 3 名の端末にマルウェアが配信されました。 攻撃者は当社の IP アドレス範囲からのアクセスにのみ エクスプロイトを配信する選択的攻撃を行っており、 一般ユーザーには正常なページが表示されていたため発見が遅れました。」

水飲み場攻撃フロー

攻撃の流れ

攻撃者はまず標的組織の従業員がよく訪れる業界ニュースサイト、 技術フォーラム、業界団体のサイトなどを調査します。 次に、そのサイトの脆弱性を 悪用して不正なスクリプトを埋め込みます。 標的組織の IP アドレス範囲からのアクセスにのみマルウェアを配信する 「選択的攻撃」を行うことで、セキュリティ研究者による検知を回避します。スピアフィッシングと異なり、 メールフィルターでは防御できない点が厄介です。標的型攻撃の入門書 (Amazon)で体系的に学べます。

防御策

水飲み場攻撃への防御は多層的なアプローチが必要です。 ブラウザとプラグインの最新化でゼロデイ以外の 脆弱性を塞ぎ、 Web プロキシやサンドボックスで 不審なスクリプトの実行を検知します。 ネットワークレベルでは、IDS/IPS による 異常な通信パターンの検出が有効です。 エンドポイントの EDR (Endpoint Detection and Response) で マルウェアの挙動を監視し、感染の早期発見を目指しましょう。 サービスごとに固有の強力なパスワードで各種アカウントを保護し、 マルウェア感染後の被害拡大を防ぐことも重要です。マルウェア対策の書籍 (Amazon)も参考になります。