水飲み場攻撃とは?由来や標的型攻撃との違い、9つの対策を解説
- Webサイト保守
- WordPress
記事の監修
IT・WEB集客の専門家
波多野 明仁(Akihito Hatano)
WEB業界歴22年。学生時代に50サイトの制作・運営を行い収益化を達成。その後、ITシステム開発会社にてSEを6年間経験し独立。東証プライム企業をはじめ4,000サイト以上を改善してきた実績あり。自社メディアの制作・運営で培ったアクセスアップのノウハウをクライアント企業のWEB集客に活かし、日々活躍中。1年でアクセス数が715倍に増加した企業や、売上が25倍に増加した企業など、法人クライアントの実績多数。
こんにちは、株式会社ソライル Web集客コンサルタントの波多野です。
ターゲットがいつも閲覧しているWebサイトに罠を仕掛け、マルウェア感染をさせる「水飲み場攻撃(水飲み場型攻撃)」。
該当のWebサイトにアクセスすると、機密情報の窃取やパソコンを乗っ取られるリスクがあるうえ、知らない間に自社サイトが攻撃の手口に利用され、加害者になることも考えられます。
今回は、水飲み場攻撃とは何か、感染する流れや想定される被害、「Webサイト閲覧側」「Webサイト管理側」におけるそれぞれの対策などについて解説します。
目次
水飲み場攻撃(水飲み場型攻撃)とは?由来は?
水飲み場攻撃(水飲み場型攻撃)とは、攻撃対象者が普段から利用するWebサイトを改ざんし、マルウェアに感染させるサイバー攻撃です。
英語では「Watering Hole Attack」と呼ばれており、水を飲みに集まる動物を肉食獣が待ち構えて襲う狩りのスタイルが由来とされています。
標的攻撃型の一種として2012年に発表された水飲み場攻撃は、攻撃のリスクを感じさせずWebサイトの改ざんも発覚しづらいため、知らない間に被害に遭ってしまうことが多いです。
水飲み場攻撃と「標的型攻撃」「ドライブバイダウンロード攻撃」の違い
こちらからは、水飲み場攻撃と混同しやすい「標的型攻撃」や「ドライブバイダウンロード攻撃」について解説します。
標的型攻撃とは
標的型攻撃とは、特定の組織や業界、地域といったように攻撃対象を絞り込んで行われるサイバー攻撃です。
攻撃にはWebサイトの他にメールも使用され、重要情報の窃取や妨害工作、嫌がらせを目的に行われます。
水飲み場攻撃は、この標的型攻撃の代表的な手口のひとつです。
ドライブバイダウンロード攻撃とは
ドライブバイダウンロード攻撃とは、Webサイトを改ざんし、訪問したユーザーに悪意のあるプログラムをインストールさせるサイバー攻撃です。
水飲み場攻撃は特定の攻撃対象に絞って行われますが、ドライブバイダウンロード攻撃は不特定多数のユーザーを対象に仕掛けられます。
水飲み場攻撃で感染する流れ
水飲み場攻撃でマルウェアが感染する流れは、以下の通りです。
- ・攻撃者がターゲットのよく閲覧するWebサイトを調べる
- ・閲覧頻度の高いWbサイトの中から脆弱性のあるサイトを改ざんし、不正なプログラムを仕掛ける
- ・ターゲットがアクセスすると、別サイトに誘導される
- ・マルウェアに感染する
攻撃者は、業種などからターゲットが日常的にアクセスするWebサイトをリストアップし、不正アクセスなどを行ってさらにターゲットのアクセス数が多いWebサイトを割り出します。
その中から脆弱性のあるWebサイトを絞り、不正なプログラムを埋め込むのです。
攻撃対象のユーザーがアクセスすると別のWebサイトに誘導されてマルウェア感染したり、場合によってはWebサイトを閲覧するだけで被害に遭ったりすることもあります。
また、攻撃者はアクセスする端末のIPアドレスを制限して攻撃対象の範囲を絞り込むケースもあり、被害が発覚しづらいことも多いです。
水飲み場攻撃で想定される被害
水飲み場攻撃で想定される被害としては、下記の通りです。
- ・マルウェアの感染
- ・個人情報・機密情報の窃取
- ・パソコン・サーバーの乗っ取り
- ・自社サイトが「踏み台」にされる
上記4つの被害について解説します。
マルウェアの感染
水飲み場攻撃によって、攻撃対象のデバイスがマルウェアに感染することが考えられます。
悪意のあるソフトウェアの総称である「マルウェア」が感染・実行されることで、パソコン内のデータ・削除をはじめ様々な被害が発生します。
個人情報・機密情報の窃取
水飲み場攻撃で感染したマルウェアが、ターゲットの入力した情報やパソコン内に保存されている情報を外部に送信する被害もあります。
これにより、クレジットカード番号や銀行の口座番号、企業の機密情報などが流出したり、犯罪サイトで売買されたりすることに。
情報流出は企業の大幅なイメージ低下を引き起こし、取引停止や事業縮小、さらに損害賠償から多額の費用負担が生じることも考えられます。
パソコン・サーバーの乗っ取り
水飲み場攻撃から、パソコン・サーバーなどの端末が乗っ取られる可能性もあります。
悪意のある第三者により、遠隔から不正な操作を受ければ、データの改ざんや削除、アクセス権の奪取といったことが発生するでしょう。
重要なシステムを攻撃者が好きなように操作できるため、甚大な被害が予想されます。
自社サイトが「踏み台」にされる
水飲み場攻撃を仕掛けるために自社サイトが改ざんされ、マルウェアが埋め込まれることも考えられます。
この場合、企業はセキュリティ対策の甘さにユーザーや取引先から信頼を失い、取引の停止や契約解除に至る恐れがあります。
また、他者に被害が発生した場合は損害賠償責任が問われ、多額の賠償を負うこともあるため、十分な対策を行っておくことが大切です。
水飲み場攻撃の事例
こちらからは、水飲み場攻撃に関する下記3つの事例についてご紹介します。
- ・日本の政府機関を狙った事例
- ・フロリダの水インフラ建設企業を狙った事例
- ・アメリカの政府・重要インフラ・産業を狙った事例
それぞれの事例をもとに、水飲み場攻撃対策の参考にしていきましょう。
日本の政府機関を狙った事例
総務省は、複数の新聞社で運営されているニュースサイト「47行政ジャーナル」に水飲み場攻撃が仕掛けられたことを公表しています。(参照:2015年3月 情報流通行政局 情報セキュリティ対策室 総務省における情報セキュリティ政策の最新動向)
該当のWebサイトは改ざんされ、経済産業省や財務省、農林水産省といった中央省庁の端末が感染しました。
フロリダの水インフラ建設企業を狙った事例
経済産業省は、フロリダの水インフラ建設企業のWebサイトが改ざんされ、訪問者の情報が盗まれたことを公開しています。(参照:2021年10月 独立行政法人情報処理推進機構 セキュリティセンター 制御システム関連のサイバーインシデント事例8)
このWebサイトには、水上事業者、州や地方政府機関、水道関連企業などがアクセスしており、水飲み場攻撃が仕掛けられたと考えられています。
アメリカの政府・重要インフラ・産業を狙った事例
株式会社三菱総合研究所は、アメリカの政府機関・重要インフラ・重要産業が、水飲み場攻撃やフィッシング攻撃、スピア型メール攻撃などの手段で組織内のコンピューターに不正侵入されたことを公表しています。(参照:2020年1月 株式会社三菱総合研究所 サイバーセキュリティのインシデント(事件等)に関する事例動向)
組織内部には遠隔操作ツールが埋め込まれ、継続的に組織内の情報が窃取されました。
水飲み場攻撃の対策【Webサイト閲覧側】
こちらからは、「Webサイト閲覧側」が行うべき水飲み場攻撃の対策についてご紹介します。
- ・不審なWebサイトにはなるべく近付かないようにする
- ・OSやソフトウェアを常に最新の状態に保つ
- ・ウイルス対策ソフトを導入する
- ・重要なデータを暗号化する
- ・バックアップを定期的にとっておく
上記5つの対策を押さえてリスクを回避していきましょう。
不審なWebサイトにはなるべく近付かないようにする
政府のWebサイトをはじめ、日頃から利用しているどのようなサイトであっても警戒を怠らず、少しでも不審な点を感じたら閲覧を行わないことが大切です。
日常的にセキュリティ意識を高めておくことで、甚大な被害を防ぐことが見込まれます。
OSやソフトウェアを常に最新の状態に保つ
OSやソフトウェアを常に最新の状態に保つことも、水飲み場攻撃の対策として効果的でしょう。
OSやソフトウェアは、セキュリティ上の問題点が発見された際に随時修正版を公表しているため、アップデートすることでリスクの軽減につなげられます。
アップデートを行わなければ脆弱性が放置されてしまい、マルウェアに感染しやすくなるので、更新は後回しにせず迅速に実行しましょう。
ウイルス対策ソフトを導入する
マルウェアを検出し除去するウイルス対策ソフトの導入も検討してみましょう。
ウイルス対策ソフトは種類によって特徴が異なるため、比較しながら必要な機能が搭載されているか確認することが大切です。
また、「導入する端末に対応しているか」「動作は軽いか」といった点も意識しながら、適したものを選んでみてください。
重要なデータを暗号化する
個人情報や企業の機密情報を暗号化しておき、第三者に読み取られないようにする方法もあります。
暗号化されたデータを復元するためには、パスワードなど特定の条件が必要なので、水飲み場攻撃を受けたとしても情報漏洩リスクを軽減できます。
一方で、ランサムウェアにより無断で全てのデータが暗号化される場合もあるので、他の対策と併用することが重要です。
バックアップを定期的にとっておく
水飲み場攻撃の対策として、バックアップを定期的にとっておくことも有効です。
バックアップを取得しておけば、マルウェア感染しデータが破壊・改ざんされた場合も元通りに復元できる可能性が高まります。
バックアップを実施する際は、アメリカの国土安全保障省が公表した「3-2-1ルール」も意識してみましょう。
【3-2-1ルール】
- ・データのバックアップコピーを「3つ」保持する
- ・「2種類」の異なるストレージメディアに保存する
- ・少なくとも「1つ」のバックアップコピーをオフサイトに保存する
水飲み場攻撃の対策【Webサイト管理側】
現在Webサイトを管理している場合は、ご紹介した「Webサイト閲覧側」の対策に加えて、下記4つの対策を行うことが大切です。
- ・自社サイトを定期的に診断する
- ・Webサイトへの侵入・改ざんの検知システムを導入する
- ・アカウント管理を強化する
- ・社内のセキュリティ意識を高める
上記4つの対策について解説します。
自社サイトを定期的に診断する
自社サイトのセキュリティ診断を行い、セキュリティ上の欠陥がないか、ある場合はどのような対策をするべきなのかを確認しましょう。
問題なく稼働しているように見えるWebサイトであっても、専門的な視点から診断すると攻撃者が付け入ることができる脆弱性が潜んでいることも多いです。
ツールによる自動診断は人件費を抑えてスピーディーに実施できますが、複雑なロジックの脆弱性を発見しづらかったり誤検知が発生したり、診断結果が専門的で難しかったりといった面もあるので、信頼できる専門家に任せることがおすすめです。
Webサイトへの侵入・改ざんの検知システムを導入する
水飲み場攻撃の踏み台にされないように、自社サイトに対して侵入・改ざんの検知システムを導入することも有効です。
Webサイトへの侵入に対しては、「ファイアウォール」「IDS・IPS」「WAF」といったようにそれぞれ守備範囲が異なるシステムを導入することで、リスクを最小限に抑えられます。
Webサイトの改ざん対策システムに関しては、自動復旧の有無や対応ドメイン数・ページ数、サーバーへの負荷、メモリ・CPU・対応OSなどの稼働要件を確認し、自社に適したものを選んでみましょう。
アカウント管理を強化する
不正アクセスを防止するために、ある程度長くランダムな英数字のパスワードを設定し、複数のサービスで使い回さないようにしましょう。
また、各従業員やユーザーに対して必要なアクセス権限のみを付与することも、水飲み場攻撃で自社サイトの悪用を防ぐために効果的です。
社内のセキュリティ意識を高める
従業員それぞれがセキュリティの重要性を理解し、日々の業務で意識できるように取り組むことも重要です。
社内で明確なセキュリティポリシーを策定したうえで、セキュリティの基礎知識・注意点に関する講義や、実際のセキュリティ脅威を模した訓練を実施することで、水飲み場攻撃をはじめとしたサイバー攻撃に備えることができるでしょう。
水飲み場攻撃、まとめ
今回は、水飲み場攻撃とは何か、感染する流れや想定される被害、「Webサイト閲覧側」「Webサイト管理側」におけるそれぞれの対策などについて解説しました。
Webサイトへのサイバー攻撃に不安を感じている方は、株式会社ソライルへお気軽にお問い合わせください。
累計4,000サイト以上のWebサイト改善実績のあるソライルでは、ITの国家資格を持つプロがあなたの大切なWebサイトの診断・保守を行います。
「サイバー攻撃された7つのサイト全てを半日で復旧」などの実績もございますので、すぐに対応できるWeb保守サービスをお探しなら、プロにご相談ください。
関連記事
