水飲み場攻撃とは何か?
サイバーセキュリティであれジャングルであれ、ウォーターホール攻撃とは脅威アクターが標的が集まる場所で攻撃を仕掛ける手法を指す。自然界におけるウォーターホールとは、喉の渇いた動物が水を飲みに集まる窪地である。警戒を解いた動物はライオンなどの狩猟者にとって格好の獲物となる。サイバーセキュリティでも同様の概念が適用されるが、大型の猫科動物やガゼルに代わって登場するのは hackers がウェブ上でコンピューターユーザーを待ち伏せする点だけが異なる。
水飲み場攻撃はどのように機能するのか?
水飲み場攻撃とは、サイバー犯罪者が、ハッキングや ソーシャル・エンジニアリングなどの技術を駆使して、個人、集団、または組織がよく利用するウェブサイトを攻撃することである。あるいは、攻撃者が作成したウェブサイトに被害者を誘い込むこともあります。この攻撃では、以下の4つのフェーズすべてにおいて、綿密な実行が要求される:
1.情報収集
脅威行為者は、ターゲットのウェブ閲覧習慣を追跡することで情報を収集する。情報収集のための一般的なツールには、検索エンジン、ソーシャルメディアページ、ウェブサイトの人口統計データ、ソーシャルエンジニアリング、スパイウェア、キーロガーなどがあります。一般常識が大きな助けになることもある。この段階が終わると、サイバー犯罪者は水飲み場のサイバー攻撃に使用する標的のウェブサイトのショートリストを手に入れます。
2.分析
サイバー犯罪者はウェブサイトのリストを分析し、悪用できるドメインやサブドメインの弱点を探します。あるいは、攻撃者は悪意のあるウェブサイトのクローンを作成することもあります。正規のウェブサイトを侵害し、標的を偽のウェブサイトに誘導することもある。
3.準備
hackers 、標的を感染させるために、ウェブ上で悪用されるコードをウェブサイトに注入する。このようなコードは、ActiveX、HTML、JavaScript、画像などのウェブ技術を悪用し、ブラウザを侵害します。さらに標的を絞った攻撃を行う場合、特定のIPアドレスを持つ訪問者を感染させるエクスプロイト・キットを使用することもあります。このようなエクスプロイト・キットは、ある組織に的を絞る場合に特に有効です。
4.実行
水飲み場が準備されると、攻撃者はマルウェアが機能するのを待つ。順調に進めば、標的のブラウザはウェブサイトから悪意のあるソフトウェアをダウンロードして実行する。ウェブブラウザは通常、ウェブサイトからローカルコンピュータやデバイスへコードを無差別にダウンロードするため、ウェブ経由の攻撃に対して脆弱になり得る。
hackers 水飲み場攻撃にどのようなテクニックを使うのか?
- クロスサイト・スクリプティング(XSS):このインジェクション攻撃では、hacker サイトのコンテンツに悪意のあるスクリプトを挿入し、ユーザーを悪意のあるウェブサイトにリダイレクトさせることができます。
- SQLインジェクション: Hackers SQLインジェクション攻撃を使ってデータを盗むことができる。
- DNSキャッシュポイズニング: DNSスプーフィングとしても知られ、hackers この操作テクニックを使って標的を悪意のあるページに送り込む。
- ドライブバイダウンロード:水飲み場にいる標的は、ドライブバイダウンロードによって、本人の認識、同意、行動なしに悪意のあるコンテンツをダウンロードする可能性があります。
- マルバタイジング:マルバタイジングとして知られ、hackers 水飲み場の広告に悪意のあるコードを注入し、獲物にマルウェアを拡散させる。
- ゼロデイ攻撃: 脅威行為者は、攻撃者が利用できるウェブサイトやブラウザのゼロデイ脆弱性を悪用することができる。
水飲み場攻撃の例
2012: Hackers Internet Explorerを悪用し、米外交問題評議会(CFR)のウェブサイトを感染させた。興味深いことに、この水飲み場は、特定の言語を使用しているInternet Explorerブラウザのみを直撃した。
2013:防衛、エネルギー、航空、製薬、石油化学の各分野を標的に、米国と欧州の産業制御システム(ICS)を狙った国家ぐるみのマルウェア攻撃が発生。
2013: Hackers 米国労働省のウェブサイトを水飲み場として利用し、ユーザー情報を収集した。
2016: 研究者 、ポーランド、米国、メキシコを含む31カ国以上の組織を標的としたカスタムエクスプロイトキットを発見。攻撃元はポーランド金融監督庁のウェブサーバであった可能性があります。
2016: モントリオールを拠点とする国際民間航空機関(ICAO)は、ほぼすべての航空会社、空港、各国の航空機関へのゲートウェイである。hacker ICAOの2つのサーバーを破壊することで、他のウェブサイトにもマルウェアを拡散させ、2000人のユーザーと職員の機密データを無防備な状態にした。
2017: マルウェア「NotPetya」がウクライナ全土のネットワークに侵入し、ウェブサイト訪問者を感染させ、ハードディスクのデータを削除した。
2018: 研究者がOceanLotusと呼ばれる水飲み場キャンペーンを発見。この攻撃はカンボジア政府のウェブサイトとベトナムのメディアサイトを襲った。
2019年: サイバー犯罪者は、悪意のあるAdobe Flashのポップアップを使用して、ほぼ12のウェブサイト上でドライブバイダウンロード攻撃を引き起こした。Holy Water」と呼ばれるこの攻撃は、宗教、慈善団体、ボランティアのウェブサイトを襲いました。
2020: アメリカの情報技術企業ソーラーウィンズが、発覚までに数ヶ月を要した水飲み場攻撃の標的になった。国家機関がサイバーセキュリティ企業、財務省、国土安全保障省などをスパイするために水飲み場攻撃を利用した。
2021: グーグルの脅威分析グループ(TAG)は、香港のメディアや民主派ウェブサイトの訪問者を標的とした広範な水飲み場攻撃を発見した。このマルウェア感染により、アップル製端末を使用している人々にバックドアがインストールされる。
今こそ 水飲み場攻撃は、世界中のあらゆる企業に対する高度な持続的脅威(APT)です。残念ながら、hackers ソーシャル・エンジニアリング戦略を駆使した水飲み場フィッシングで、小売企業や不動産会社などを標的にしています。
水飲み場攻撃とサプライチェーン攻撃
水飲み場攻撃とサプライチェーン攻撃は似ている場合もありますが、必ずしも同じではありません。サプライチェーン攻撃は、サプライヤー、ベンダー、パートナーなど、組織のネットワークで最も脆弱な要素を通じてマルウェアを送り込む。例えば、イランのエアギャップ・コンピュータに対するStuxnet攻撃では、5つの外部企業が知らず知らずのうちに患者ゼロとして機能していた可能性がある。サプライチェーン攻撃は、侵害されたウェブサイトを水飲み場として利用することもあるが、その必要はない。
水飲み場攻撃から身を守るには
消費者にとっては、ウェブ上の閲覧場所やクリックに注意する、優れたアンチウイルス・プログラムを使用する、Malwarebytes Browser Guard ようなブラウザ保護を使用するといったサイバーセキュリティの良い習慣が、まとめて水飲み場攻撃を回避する良い方法となる。Browser Guard 、マルウェアを含むウェブページをブロックすることで、より安全なブラウジングを可能にします。
企業にとって、水飲み場攻撃から身を守るためのベストプラクティスには以下のようなものがある:
- 機械学習を使用してウェブサイトや電子メール上の悪意のある動作を認識する高度なマルウェア解析ソフトウェアを採用。
- セキュリティ・ソリューションを定期的にテストし、インターネット・トラフィックに不審な動きがないか監視しましょう。
- 水飲み場攻撃の緩和戦略についてエンドユーザーを訓練する。
- 最新のオペレーティングシステムとブラウザのセキュリティパッチを使用し、エクスプロイトのリスクを減らす。
- より良いセキュリティのために、ローカルブラウザではなくクラウドブラウザを試してみてください。
- ウェブサイトに与えられている権限を監査する。
- 新興マルウェアの脅威から組織内のエンドポイントを保護するために、Windows およびMac 用のエンドポイント検出および応答ツールを使用します。
- サイバーセキュリティの関連リソースを使用して、hackers 水飲み場攻撃に使用する脅威ベクトルについて詳しく学んでください。