ウォータリングホール攻撃:定義、危険性、および防止方法

ウォータリングホール攻撃:定義、危険性、および防止方法

日常サイトが罠になる瞬間とは

2024年7月17日
著者: Ahona Rudra
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 Watering Hole Attacks: Definition, Dangers and Prevention の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

CISO(最高情報セキュリティ責任者)や組織は、サイバーセキュリティのツール、技術、そして実践に追いつこうと努めています。
しかし、脅威アクターは常にそれを上回るために革新を続けています。
そのような手法の一つが「ウォータリングホール攻撃」です。

技術的なエコシステムが保護され、従業員が操作に引っかからないように訓練されている場合、サイバー犯罪者は第三者のサービスを標的にすることがあります。
これは、脆弱性を悪用し、組織に損害を与えるために行われます。

重要なポイント

  1. ウォータリングホール攻撃は、頻繁に訪問されるWebサイトを侵害し、マルウェアを拡散させることでユーザを標的にします。
  2. この攻撃のライフサイクルには、Webサイトの特定、標的の調査、感染、誘導、そして悪用といった段階が含まれます。
  3. ソフトウェアやプラグインを定期的に更新することは、ウォータリングホール攻撃で悪用される可能性のある脆弱性を軽減するために不可欠です。
  4. ネットワークのセグメンテーションを実装することで、脅威を封じ込め、攻撃の潜在的な影響を制限することができます。
  5. 組織は、レガシーシステムを廃止し、攻撃への脆弱性を減らすとともに、最新のセキュリティ機能の恩恵を受けるべきです。

ウォータリングホール攻撃の歴史

ウォータリングホール攻撃という用語は、古代の狩猟戦略に由来しています。
古代の狩人たちは、獲物を追いかけることが不便だと感じていました。
それは、獲物の方が理想的には人間よりも速く、はるかに俊敏だったためです。

そこで、より効果的な方法として、獲物が集まりやすい場所に罠を仕掛けるという戦略が考え出されました。
川辺や水飲み場のような場所は、水を飲みに来る獲物を引き寄せるものでした。
狩人たちは、水飲み場で獲物の警戒心が緩むのを待ち、容易に仕留めることができました。
この新たに出現したサイバー攻撃手法も、同じ考え方に基づいています。

ウォータリングホール攻撃の定義

水飲み場型攻撃(Watering Hole Attack)の定義と仕組みを示す図

ウォータリングホール攻撃とは、脅威アクターがエンドユーザを標的とし、彼らが頻繁に訪問するWebサイトを推測または観察して侵害するサイバー攻撃のことです。
攻撃者は、標的のデバイスに侵入するために、そのWebサイトにマルウェアを感染させることを目的としています。
その後、感染したデバイスを利用して、標的の組織ネットワークにアクセスすることができます。

たとえば、ハッカーがある企業のコンピュータを悪用しようとしているとします。
しかし、その企業のサイバーセキュリティシステムや従業員のセキュリティ意識の高さによって、直接の侵入は防がれています。
ところが、ハッカーは人事部が従業員の誕生日ごとに特定のオンラインベーカリーからケーキを注文していることを知っています。

そこでハッカーは、人事部がそのベーカリーのWebサイトを訪れるのを待ち構えます。
そして、そのタイミングで人事部のデバイスにマルウェアや実行コードを仕掛けるのです。
最終的に、それによってハッカーは企業のエコシステムに侵入できるようになります。

ウォータリングホール攻撃が危険なのは、発見や排除が非常に難しいためです。
その存在に気づいたときには、すでにハッカーが企業に深刻な損害を与えている可能性があります。

ウォータリングホール攻撃の完全なライフサイクル

一般的なウォータリングホール攻撃は、次の段階を経て展開されます。

1.Webサイトの特定
脅威アクターは、セキュリティ上の脆弱性、すなわちセキュリティ対策が不十分なWebサイトを選定します。
標的は、特定の企業の従業員、特定業界の関係者、あるいは特定のソフトウェアやサービスの利用者である場合があります。

理想的な標的を定める際には、いくつかの要素が考慮されます。
これには、ソーシャルエンジニアリングの機会、地理的な位置、攻撃者の拠点との距離、予想される金銭的利益、評判、脆弱性、そして悪用の容易さなどが含まれます。
2.標的の調査
次に、攻撃者は標的のオンライン上での行動やパターンを調査します。
これにより、標的が定期的に訪問する第三者のWebサイト、つまり「ウォータリングホール」を特定することができます。
これには、ニュースサイト、業界フォーラム、ファイル形式変換サイト、オンラインショッピングサイト、チケット予約サイトなどが含まれます。
3.感染
攻撃者は、これらのWebサイトの1つまたはいくつかを侵害し、悪意のあるコードを注入します。
このコードは、訪問者を騙してマルウェアを自分のコンピュータやデバイスにダウンロードさせることができます。
4.誘導
悪意のあるコードが「ウォータリングホール」サイトに仕掛けられると、攻撃者は標的がその侵害されたWebサイトを訪問するのを待ち構えます。
このことから、捕食者が水飲み場で獲物を待つという例えが使われています。
感染したWebサイトは、被害者を罠にかけるための誘い餌となります。
5.悪用
被害者が「ウォータリングホール」サイトを訪問すると、そのコンピュータはマルウェアに感染したり、侵害されたりします。
これは「ドライブバイダウンロード」を通じて発生する場合があります。
ドライブバイダウンロードとは、ユーザの知識や同意なしに、マルウェアが自動的にダウンロードおよび実行されることを指します。
6.ペイロードの配信
「ウォータリングホール」サイトを通じてインストールされるマルウェアには、攻撃者の目的に応じてさまざまなペイロードが含まれることがあります。
攻撃者の目標の一つとして、デバイスやネットワークへの不正アクセスを得ることが挙げられます。
7.痕跡の隠蔽
攻撃者は、標的システムを悪用して目的を達成した後、自らの痕跡を隠そうとすることがよくあります。
これは、ログファイルを操作または削除して、自分の存在の痕跡を消すことを意味します。
彼らはタイムスタンプを改ざんしたり、特定のエントリを削除したり、ログ設定そのものを改竄してログの記録を妨げることさえあります。

ハッカーは、ルートキットなどのステルス技術を使用して、自身の存在を侵害されたシステム内で隠すこともあります。
ルートキットは、オペレーティングシステムを改変し、悪意のあるプロセスや活動を見えなくするようにします。

ウォータリングホール攻撃の実例

水飲み場型攻撃の実際の事例を示す図解

事例

2021年、Googleの脅威分析グループ(TAG)は、一連のウォータリングホール攻撃を発見しました。
これらの攻撃は、iOSおよびmacOSデバイスを標的としていました。
攻撃は主に香港で行われ、複数のWebサイトを侵害し、macOS Catalinaのゼロデイ脆弱性(CVE-2021-30869)を含む脆弱性の組み合わせを悪用していました。

ウォータリングホールの拠点となったのは、報道機関および民主化支持団体に関連するWebサイトでした。
攻撃者は、この脆弱性の連鎖を利用して脆弱なデバイスにバックドアをインストールしました。
これにより、攻撃者はさまざまな機能を利用できるようになりました。
それには、デバイスの識別、音声の録音、画面のキャプチャ、キーロギング、ファイル操作、そしてroot権限によるターミナルコマンドの実行が含まれていました。

ウォータリングホール攻撃からの防御

ウォータリングホール攻撃を防ぐには、サイバーセキュリティ対策とユーザの意識向上の両方が必要です。
以下は、組織の責任者として取るべき対策です。

ソフトウェアとプラグインを最新の状態に保つ
ソフトウェアやプラグインを最新の状態に保つことは、セキュリティを維持する上で極めて重要です。
アップデートには、既知の脆弱性に対するパッチが含まれていることが多く、不正アクセス、データ漏えい、マルウェア感染などを引き起こす可能性のある攻撃を防ぐことができます。
最小権限の原則を実施する
ユーザに対して、業務遂行に必要な権限とアクセス権のみを付与するという「最小権限の原則」を徹底しましょう。
ユーザ権限を制限することで、ウォータリングホール攻撃が成功した場合の影響を軽減できます。
これは、攻撃者が権限を昇格させたり、ネットワーク内を横方向に移動したりする能力を制限するためです。
ネットワークのセグメンテーション
ネットワークを小さく分割し、互いに分離されたセグメントにすることで、ウォータリングホール攻撃の影響を最小限に抑えることができます。
これにより、マルウェアの拡散を制御・封じ込めることが可能になります。

また、攻撃者が機密性の高いシステムやデータにアクセスするのを防ぐことができます。
攻撃対象領域を減らすことで、ビジネスの重要度に応じてネットワークトラフィックを優先的に処理でき、パフォーマンスの向上、混雑の軽減、帯域幅の最適化が実現します。
Webフィルタリングの導入
Webフィルタリングは、悪意のあるWebサイトへのアクセスを遮断することで、ウォータリングホール攻撃を防止します。
また、Webフィルタリングソリューションは、不正なデータ流出も防ぐことができます。

これは、マルウェアが使用する既知のコマンド&コントロール(C2)サーバへの外部接続をブロックすることで実現されます。
これにより、ウォータリングホール攻撃の影響を抑え、機密情報の窃取や漏えいを防ぐことができます。
レガシーシステムの廃止
レガシーシステムを廃止することは、ウォータリングホール攻撃から組織を守る効果的な手段です。
これは、悪用されやすい古いソフトウェアやインフラを排除することによって実現されます。

最新のシステムやソフトウェアには、高度な暗号化プロトコル、安全なコーディング手法、脅威検知機能などのセキュリティ機能が組み込まれています。
これらの機能により、攻撃者がシステムやネットワークを侵害することがより困難になります。

まとめ

高い利益を得られる可能性が、サイバー犯罪者にウォータリングホール攻撃を続けさせる動機となっています。
これには、貴重なリソースへの不正アクセスや機密データの取得などが含まれます。

ウォータリングホール攻撃を継続的に監視することで、強固なサイバーセキュリティ対策を導入することができます。
これにより、常に進化するサイバー脅威の一歩先を行くことが可能になります。
最終的には、自社ブランドの評判を守り、顧客との信頼関係を維持することにつながります。

もしあなたがドメインをメール詐欺から保護したい場合は、当社のDMARCアナライザーをご利用ください。
今すぐ無料トライアルに登録し、メール認証の力を体験しましょう。