Watering Hole型攻撃とは、どのような手口ですか。

Watering Hole(たまり場)」とは、企業や組織を狙った攻撃手法の1つを表す言葉として使用されています。この場合、攻撃者は、慎重に考慮した上で特定のWebサイトを選定し、そのWebサイトに脆弱性利用のマルウェア(エクスプロイト)を組み込むことで改ざんを行い、最終的にマルウェアの感染被害が発生することになります。

トレンドマイクロのシニア・スレット・リサーチャーのNart Villeneuveは、早い段階でこの手口が標的型攻撃および従来のサイバー犯罪関連の攻撃の双方において使用されていたことを確認しており、それぞれ2009年および2010年に自身のブログで報告しています。

Watering Hole型攻撃の手口は、どのようにして実行されますか。

通常、この手口は、以下のような手順で実行されます。

  1. 攻撃者は、標的にした組織や企業に侵入するために必要な「戦略的な情報」を収集します。この段階の収集方法は、軍事上の偵察活動に例えることができます。収集された情報には「標的にした組織のメンバーや企業の社員たちがどのようなサイトを「信頼できるサイト」として頻繁に閲覧しているか」といった見解などが含まれています。こうした情報に基づいて改ざん対象のWebサイトを選定する過程は、初期には「戦略的Web改ざん」とも呼ばれていました。
  2. 攻撃者は、選定したWebサイトにエクスプロイトを組み込み、改ざんを行います。
  3. 標的となった組織のメンバーや企業の社員が、改ざんされたWebサイトを閲覧すると、組み込まれたエクスプロイトによりソフトウェアの脆弱性が利用され、閲覧したコンピュータ上にマルウェアが作成されます。利用される脆弱性は、既知の脆弱性の場合もあれば、新たな脆弱性の場合もあります。また、作成されたマルウェアが「Remote Access Tool (RAT)」である場合、攻撃者により、この脆弱なコンピュータ上から機密情報が窃取されたり、外部から制御されたりすることも可能になります。

この手口は、具体的にはどのような事例で使用されましたか。

Watering Hole型攻撃の手口は、これまでに話題となったいくつかの事例でも、その使用が報告されています。

「VOHO」キャンペーン:2012年中旬、RSAは、「VOHO」と呼ばれる持続的標的型攻撃のキャンペーン活動を確認しています。これは、特定の組織グループを狙った攻撃で、特定地域の企業や地方自治体などの組織をターゲットにしていました。攻撃者は、慎重に選定したWebサイトに対して、不正なJavaScriptを組み込む改ざんを行いました。この改ざんにより、「Gh0st」というRATがもたらされます。この「Gh0st」は、世界各地の市民団体や外交機関を標的にした他の攻撃でも過去に使用されたRATとして確認されています。

知名度の高いグループを狙った攻撃:2012年下旬、「外交問題評議会(Council on Foreign Relations, CFR)」のWebサイトが、Internet Explorer (IE)のゼロデイ脆弱性により改ざんされました。改ざんされたWebサイトを閲覧したユーザのコンピュータは、バックドア型のマルウェアに感染することになります。この脆弱性に関しては、Microsoftでは、すでに更新プログラム「MS13-008」にて対応済みとなっています。

この手口は、どのような点で効果的だといえますか。

攻撃者は、標的の企業や組織の対応策を回避するためにさまざまな戦略を組み込むことで、このWatering Hole型攻撃の手口を効果的にしています。これらの戦略とは、更新の滞ったコンピュータや単なる人為的ミスの利用といったものです。

Watering Hole型攻撃の目的は、闇雲にできるだけ多くのコンピュータにマルウェアを感染させることではありません。むしろ、攻撃者の目的は、標的にした組織のメンバーや企業の社員たちが「信頼のおけるサイト」や「よく知るサイト」として頻繁に閲覧するWebサイトに対象を絞って改ざんを施すことです。こうした手法により、標的のみへ的確に被害をもたらす上でWatering Hole型攻撃が大きな効果をあげているのです。

また、「改ざん対象のWebサイトを慎重に選定する」という点に加えて、ゼロデイ脆弱性を利用するエクスプロイトを駆使して未修正の脆弱性を標的にするという点も、Watering Hole型攻撃で使用される戦略として知られています。このように、脆弱性利用に関する部分でも、未修正の脆弱性が狙われるため、標的となった企業や組織は無防備な状態にさらされます。

むろん、これは、すでに更新プログラムが公開された修正済みの脆弱性を攻撃者が狙わないということではありません。企業や組織での脆弱性管理の難しさや不備はよく知られるところであり、更新プログラム等が公開された後でも、IT管理者側においてこうした脆弱性の更新や修正に遅延が生じることはよくあります。こうしたスキを突いて、攻撃者は「過去に確認され今でも利用価値のある脆弱性」にも狙いを定めています。

Watering Hole型攻撃の標的としては、どのようなものがあげられますか。

Watering Hole型攻撃の手口は、主に以下の機関や組織から機密情報や知的情報等を収集する際、その目的達成のための標的型攻撃の手段として利用されます。

  • 各種の民間企業
  • 人権団体
  • 政府機関

また、収集された情報は、さらに被害規模の大きい本格的な攻撃をこれらの企業や組織に仕掛ける際にも利用されます。

Watering Hole型攻撃がもたらす影響とは何ですか。

Watering Hole型攻撃で使用されるソーシャルエンジニアリングの手法は、より戦略的な傾向があるといえます。従来のソーシャルエンジニアリングの手法と異なり、Watering Hole型攻撃の場合、攻撃者は、改ざんを施すWebサイトをランダムに選ぶのではなく、標的となる組織や企業の状況を慎重に考慮した上で選定するからです。このため、「信頼のおけるサイト」や「頻繁に閲覧するサイト」に狙いを定めて改ざんが施されることになり、「信頼のおけるサイトのみを閲覧するようしましょう」といった従来の注意事項も、効果的な対策とはいえなくなります。

また、RATが駆使されるWatering Hole型攻撃の場合、攻撃者は、感染したサーバ上でコマンドを実行することができ、これにより、標的の組織や企業内の活動を偵察およびモニタリングすることも可能になります。また、攻撃者は、標的の組織や企業のネットワーク内に侵入することもでき、これにより、機密情報関連ファイルの改変や削除など、その組織や企業の業務自体に危害を加えることも可能になります。

Watering Hole型攻撃の手口を駆使した攻撃は、今後さらに増えてくるといえるでしょう。トレンドマイクロのサイバーセキュリティVPのTom Kellermanも、その効果的な手口から2013年も、信頼のおけるサイトを汚染させる手法としてWatering Hole型攻撃が、より頻繁に利用されるようになるだろうと予測しています。

Watering Hole型攻撃から身を守るためには、何をすればよいですか。

適時のソフトウェア更新:「過去に確認され今でも利用価値のある脆弱性」を利用するWatering Hole型攻撃の場合、組織レベルでの最も効果的な対策は、すべてのコンピュータに関して、各ベンダから提供されている修正パッチを適応してソフトウェアの最新化を図ることです。

脆弱性の保護:「仮想パッチ」と呼ばれるこの方法は、脆弱性が利用される際、特定のネットワークパスを介して行使されるという前提に基づいた対策です。この観点から脆弱性を保護することで、システム管理者は、ネットワーク上の不審なトラフィックや既定プロトコル上の逸脱等の監視に役立てることができます。このモニタリング手法により、システム管理者は、脆弱性利用を未然に防ぐことが可能になります。

ネットワーク・トラフィックの検知:攻撃者は、さまざまなエクスプロイトや不正活動を駆使して攻撃を仕掛けてきますが、いずれの場合も、最終的にマルウェアがコマンド&コントロール(C&C)サーバと交信する点は一貫しています。こうした交信を検知することで、企業や組織は、セキュリティ対策を講じることができ、またこれにより交信を介してもたらされるさらなる攻撃を阻止することも可能になります。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」は、企業や組織のIT管理者が不審なネットワーク・トラフィックを検知して活用することがきます。

既知の持続的標的型攻撃との関連に注意する:いわゆるビッグ・データの分析等を通して、企業や組織は、すでによく知られた持続的標的型攻撃が、侵入したネットワーク上でどのような活動をするか、何らかのかたちで関連した攻撃の影響を受けていないかどうかといった関連状況を把握することも可能です。

企業や組織では、過去に遭遇した標的型攻撃の事例を記録することによる「自前のセキュリティ・インテリジェンス構築」を検討することも有効です。これにより、さまざまな関連性を事前に把握し、より効果的な対策を講じることができ、仮に不測の事態に対しても、効果的な復旧作業を講じることもできます。

トレンドマイクロの専門家からのコメント:

標的型攻撃の場合、個人ユーザを狙うよりもそうしたユーザに信頼された正規サイトを改ざんさせる方がはるかに効果的な手口であることから、Watering Hole型攻撃は、今後もより頻繁に利用されることになるでしょう。
- トレンドマイクロのサイバーセキュリティVP:Tom Kellerman

サイバー犯罪者たちは、できるだけ多くのコンピュータを見境なく感染させるために「ドライブバイダウンロード攻撃を引き起こすエクスプロイト(ドライブバイ・エクスプロイト)」を多くのWebサイトの改ざんに利用します。一方、持続的標的型攻撃に関連してWebサイトを選定の上で改ざんする手口は、インターネットセキュリティ専門家の研究財団である「Shadowserver」がうまく表現していたとおり、まさしく「戦略的Web改ざん」と呼ぶべきものでしょう。その目的は、特定のコンテンツに関心のあるユーザにターゲットを絞って攻撃を仕掛けるというものです。こうした攻撃は、こうした新たなドライブバイ・エクスプロイトと連携して次々と発生しています。
- シニア・スレット・リサーチャー:Nart Villeneuve