ラックは10月9日、日本でも確認された「水飲み場型攻撃」への注意を喚起した。
水飲み場型攻撃は普段から特定のユーザーが利用しているウェブサイトから閲覧者を攻撃する罠をしかけるという構造のために油断しやすく、攻撃を受けたことに気づかないリスクがあるという。
水飲み場型攻撃では、不特定ユーザー、あるいは組織や業界、地域など特定のユーザー層が閲覧するウェブサイトに攻撃者が不正なプログラムを仕込み、サイト閲覧者にウイルス経由で不正プログラムを感染させるなどの被害を与えるリスクがある。
確認された水飲み場型攻撃とゼロデイ攻撃を掛け合わせたサイバー攻撃
今回の脆弱性は「Internet Explorer」の全バージョンで確認されており、9月17日にMicrosoftが公表した。9月25日時点でファイア・アイが攻撃を確認している。10月9日に今回の脆弱性に対する修正パッチがMicrosoftから発表されている。
ラックは水飲み場型攻撃の対策として、ウェブサイト管理者にまずは現状の自社がどんな状態かを確認するべきとしている。具体的には「自社のウェブサイトがどのような性格を有しているか確認する」「現在の運用レベル、攻撃を受けていないかどうかの確認」などである。
セキュリティ対策として、OSやアプリケーションで常に最新のアップデートすること、アカウント窃取への対策、コンテンツ改変を通知することなどを挙げた。ウェブサイトでも、ネットワーク管理者向けの対策を説明している。
