今日は最近脅威として報告されることの多い「水飲み場型攻撃」を解説します。その典型例が、8月頃から日本国内で発生した、Internet Explorer(IE)の「ゼロデイ脆弱性」(未解決の脆弱性)を悪用した攻撃です。
米Microsoftが10月8日に公開した月例セキュリティ情報でその問題の存在が公になりましたが、攻撃の内容そのものは、以前から広く行われている「改ざんしたウェブサイトをマルウェア配布に使う」という目的のものです。
ただ、多くの事例と違うのは「特定のIPアドレスからアクセスした相手にだけマルウェアをダウンロードさせる」という仕込みがある点、つまり標的型攻撃であったという点です。
水飲み場型攻撃(ラック提供)
ある特定の組織が頻繁にアクセスするであろうウェブサイトを改ざんし、マルウェアに感染させる――。RSA Securityは2012年、攻撃者をライオン、攻撃対象ユーザーが普段アクセスするウェブサイトを水飲み場に、ライオンが水飲み場のそばで水を飲みに来る獲物を待ち伏せすることに見立て、この手口を“水飲み場型攻撃(wateringhole attack)”と発表しました。
これまでによく標的型攻撃の代表的な手口として挙げられてきた「標的型メール攻撃」では、まず取引先などを装ってその組織に所属する個人を狙い、そこから内部ネットワークに浸透していくという流れになります。
ネットワークの管理者から巧みに、パスワードなどのセキュリティ上重要な情報を入手する「ソーシャルエンジニアリング」を用いるなどの工夫を凝らして相手を信用させる必要があり、フィッシングなどのメール攻撃を避ける知識のある個人には回避されてしまう可能性がありました。
しかし、この水飲み場型攻撃では、攻撃の入口が限定的ではありません。普段アクセスしているウェブサイトへの信頼を利用することによって、個別に工夫を凝らす必要なく、組織に所属する複数の人々が一斉にやられてしまう可能性があるのです。
日常的に利用しているサイトへのアクセスというルーチン的な行動により、メール攻撃を避ける知識のある人でも回避しづらい攻撃と言えます。
特に冒頭で挙げた攻撃では、IEのゼロデイ脆弱性が利用された点、日本のサイトに仕込まれた、日本の組織をターゲットとした攻撃だった点がインパクトの強い部分になります。
