新手の標的型攻撃「水飲み場型攻撃」、被害を最小化する2つのアプローチとは

　2013年9月中旬、日本を標的にしていると見られる“ゼロデイ脆弱性”を悪用するコードが、複数のウェブサイトで見つかった。この攻撃は、新しいタイプの標的型攻撃として短期間で急増している「水飲み場型攻撃」だった。新型の脅威である水飲み場型攻撃の特性と対策方法を解説する。

　2013年9月中旬、日本を標的にしていると見られる“ゼロデイ脆弱性（未知の脆弱性）”を悪用するコードが、複数のウェブサイトで見つかった。サイトの内容が改ざんされて埋め込まれたのである。改ざんされたサイトはいくつかの国で見つかったが、数が突出していたのは日本と台湾である。特に日本では、国内メディア関連のサイトが多かった。実はこの攻撃は、最近注目を集めるようになった「水飲み場型」攻撃の1つだった。

　水飲み場型攻撃という手口が明確な形で確認されたのは2012年だが、その件数は短期間で急増している。（1）感染対象が限定されているため攻撃が発覚しにくい、（2）攻撃対象者の環境以外では被害を再現できないため対策に時間がかかる---といった従来の攻撃手法にはなかった特徴があり、攻撃者にとって都合がいいからだろう。また、個々の相手にメールを送信するこれまでの標的型攻撃に比べて効率がよく、成功率も高い。24時間で500社が感染した事例も存在する。

メールを使わない標的型攻撃、サイトを改ざんして待ち伏せ

　従来のマルウエアの配布パターンは、不特定多数の相手にばらまくのが一般的だった。しかし最近では、特定の会社や組織、あるいは特定の共通属性を持つ人々だけをターゲットにするケースが増えている。こうした攻撃を「標的型攻撃」という。単にマルウエアをばらまいて騒ぎを起こす愉快犯ではなく、特定組織の情報入手を目的としているため、計画的で執拗な攻撃になるケースが多い。

図1●水飲み場型攻撃の流れ

標的ユーザーがアクセスしそうなウェブサイトに脆弱性を悪用したスクリプトを埋め込み、別サイトに仕込んだマルウエアをダウンロードさせ感染させる。あたかも“水飲み場で獲物を待ち伏せる”ような攻撃である

[画像のクリックで拡大表示]

　標的型攻撃の手法は、時間の経過と共に変化している。以前は対象となる人物に電子メールを送付してマルウエアを感染させる「スピア型フィッシング（スピア型攻撃）」がメインだった。しかし「怪しい添付ファイルは開かない」「メールに記載されているリンクは不用意にクリックしない」といった基本的なセキュリティ対策が浸透するのにともない、この攻撃手法の効果は薄れていった。そこで登場したのが「水飲み場型攻撃」である。

　水飲み場型攻撃の流れは図1に示した通りだ。まず標的となる相手を特定し、ターゲットとなる人々がアクセスしそうなウェブサイトを調査。これらのウェブサイトの脆弱性をテストして、侵入できるサイトを見つけたら、そのページを改ざんする。例えば、マルウエアを仕込んだ別サイトにユーザーを誘導し、そこからマルウエアをダウンロードさせるといった具合だ。攻撃者が行うべき準備はこれで完了である。後はあたかも“水飲み場で獲物を待ち伏せるライオン”のように、標的ユーザーを改ざんサイトで待ち伏せていればいい。