2023 年 1 月 18 日 Manu Santamaría Delgado 著

水飲み場型攻撃は一般的に次のような一連の手順で展開されます。まず攻撃対象を調査し、標的がよく利用する Web サイトの種類を確認します。そして、悪意のあるコードでそのサイトを感染させ、被害者がその Web サイトにアクセスした際に、ブラウザの脆弱性を突いたり、ユーザ端末を危険にさらすファイルをダウンロードさせたりします。

水飲み場型攻撃とは？

この種の攻撃では、特定の業界やユーザグループの従業員が標的になり、企業のネットワークにアクセスするための罠として、日頃から閲覧している Web サイトが利用されます。その結果、データの盗難、経済的損失、風評被害が生じます。

これはサプライチェーン攻撃にも酷似していますが、相違点もあります。どちらの場合もハッカーはシステムを感染させるために、サードパーティのサービスを侵害します。しかし、サプライチェーン攻撃では通常、購入した製品や、被害者が使用しているサービスが侵害されるのに対し、水飲み場攻撃では、中立的な Web サイトが感染を発生させます。サプライチェーン攻撃では、サプライヤ、ベンダ、パートナーなど、組織のネットワークにおける「最も弱い」部分を通じてマルウェアが配信されます。

最近起きた水飲み場型攻撃の 3 つの事例

1. Nitrokod と 偽装デスクトップ向け Google 翻訳

2022 年 7 月 下旬、暗号通貨マイニングマルウェアによる攻撃で、11 か国におけるデバイスの感染が判明しました。脅威要因は Nitrokod と呼ばれるソフトウェアデベロッパで、公式デスクトップバージョンのない人気のソフトウェアアプリケーションを提供していました。Google 翻訳の公式 Web ページと Chromium ベースのフレームワークを使用して作成された翻訳ユーティリティが最も人気のある製品で、これはフリーウェアを配布する Web サイトで入手できたほか、「Google Translate desktop download」と検索した時の結果で上位にランクインしていました。残念ながら、このアプリケーションはトロイの木馬化されており、いったん端末にインストールされると、ユーザに勘付かれないように感染プロセスが休眠状態となります。そして数週間の休眠期間を経てマルウェアが起動し、被害者は数日の間にデバイス上に 4 つのドロッパーをロードする更新ファイルを受け取ることになります。最後のドロッパーは、Monero を中心とした XMRig クリプトマイナーを展開し、それを実行することになります。これが行われている間、Google 翻訳は正常に機能し続け、セキュリティ分析でも警告が出ることはありません。この手法により何年にもわたって水面下で攻撃を続けてきました。

2. SolarMarker マルウェア

2022 年 9 月、グループ「SolarMarker」が、WordPress で運営されていた脆弱な Web サイトを侵害してユーザに偽装 Chrome ブラウザアップデートをダウンロードさせていました。この攻撃は米国、カナダ、英国、欧州で国際展開をする税理士事務所を標的としていました。被害者は当該企業の従業員で、ある製造元から発売されている医療関連製品について Google で検索していました。被害者が侵害された Web サイトにアクセスすると、Chrome ブラウザのアップデートをダウンロードするように促されます。ダウンロードが完了すると、実際には偽装された SolarMarker を実行することになります。その偽装アップデートは、実際に被害者が悪意のある Web サイトへのアクセス時に使用していたブラウザに適合したものでした。すなわち、もしユーザが Firefox や Edge など別のブラウザを使用していたら、それに合わせたアップデートが提示されていたはずです。

3. 米国のニュースサイトにおける SocGholish マルウェア

2022 年 11 月、犯罪集団の不正侵入により、米国の大手メディアへ動画コンテンツや広告の提供を担うコンテンツプロバイダ会社の Web サイトにマルウェアが展開されました。この攻撃では、国内の全国紙や地方紙の Web ポータル合計 250 件が標的となりました。2018 年に初めて確認された SocGholish と呼ばれるそのマルウェアは、メディア Web サイトで読み込まれる害のない JavaScript ファイルに注入され、偽装したブラウザアップデートをダウンロードするよう勧めるものでした。前述のケースと同様に、マルウェアはユーザが使用しているブラウザに準拠していました。攻撃者がネットワークへの最初のアクセス権を獲得した後は、ランサムウェアを展開するための手段として利用される可能性があり、これは以前にも見られた手口です。

水飲み場攻撃に対する重要な防御策「エンドポイント保護」

水飲み場攻撃では正規の信頼できる Web サイトが利用されるため、成功率も高く、セキュリティを理解した注意深いユーザでも騙されることがあります。そのため、継続的な監視を行い、未知のプロセスの実行を防止するエンドポイント保護ソリューションが必要です。ただし、今回紹介したような攻撃に直面した場合、アプリケーションが正規のものとして看過される場合を念頭に置き、防御のための技術は、高度な脅威、ATP 攻撃、ゼロデイマルウェア、ランサムウェアなどからもユーザを保護しなければなりません。AI と自動化の活用は、予防、検知、封じ込め、対応アクションの実行という点で有益です。また、ネットワーク内に脅威要因が存在するかどうかを検出するためには、振る舞い検知が最適です。これらの機能を組み合わせることで、水飲み場攻撃を回避可能な包括的なセキュリティが実現できます。

ゼロトラストアプローチの採用は、その点において非常に重要です。理想的にはすべてのアプリケーションを「マルウェア」「信頼できるアプリケーション」に分類し、エンドポイントにおけるあらゆるタイプのアプリケーションのアクティビティを監視できるマネージドサービスを利用すべきです。ゼロトラストアプローチでは、正規（に見える）ソフトウェアの異常な挙動を観察し、攻撃者に典型的なアクティビティの実行が検知されると同時にアプリケーションを再分類、サプライチェーン攻撃や水飲み場攻撃などの高度な脅威実行を防止します。サイバー犯罪者が、ますます複雑で検知が困難な戦術を展開してくることは確実です。AI とゼロトラストアプローチを採用して適切な保護を行えば、企業ネットワークを安全に保つことが可能です。

ウォッチガードのエンドポイントセキュリティが、今回紹介したような脅威からどのように保護をするのか、さらに詳しく知りたい場合はこちらをお読みください。