CISOと組織は、サイバーセキュリティのツール、テクニック、プラクティスに遅れを取らないよう努力している。しかし、脅威の手口はそれらを凌駕するために絶え間なく革新を続けている。彼らが使うそのようなテクニックの1つに、水飲み場攻撃がある。技術的なエコシステムが保護され、従業員が操作を避けるように訓練されている場合、サイバー犯罪者はサードパーティのサービスを標的にすることがある。これは脆弱性を悪用し、組織に損害を与えるために行われる。
水飲み場襲撃の歴史
水飲み場攻撃」という言葉は、古代の狩猟戦略に由来する。古代のハンターたちは、獲物を追い詰めることに不便さを感じていた。というのも、獲物は人間よりも理想的に速く、俊敏だったからだ。より良い解決策は、獲物が集まりそうな場所に罠を仕掛けることだった。川辺や水場のような場所には、水を飲むために獲物が集まってくる。
ハンターは水飲み場で獲物のガードが緩むのを待ち、簡単に追い詰めることができる。この新たなサイバー攻撃手法も同様だ。
水飲み場攻撃の定義
水飲み場攻撃とは、エンドユーザーが頻繁に訪れるウェブサイトを推測または観察することで、脅威者がエンドユーザーを危険にさらすサイバー攻撃のことである。攻撃者は、マルウェアでウェブサイトを感染させ、ターゲットのデバイスに侵入することを狙います。そして、感染したデバイスを使って標的の組織ネットワークにアクセスする。
例えば、ハッカーがある企業のコンピューターを悪用しようとする。しかし、サイバーセキュリティ・システムと従業員のサイバー衛生習慣が、侵入を阻む。しかし、ハッカーは、人事部が従業員の誕生日には必ず特定のオンライン・ベーカリーにケーキを注文していることを知っている。さて、彼らはHRがそのパン屋のウェブサイトにアクセスするのを待つ。そして マルウェアまたは実行可能コードをHRのデバイス上に起動する。これにより、最終的に会社のエコシステムに侵入することができる。
水飲み場攻撃は、発見も排除も難しいため危険だ。あなたがその存在に気づく頃には、ハッカーはあなたの会社に十分な害を及ぼしているだろう。
水飲み場攻撃の完全なライフサイクル
典型的な水飲み場の攻撃は、次のような段階で展開される:
1.ウェブサイトの識別
脅威の主体は、セキュリティの脆弱性、すなわちセキュリティ対策が不十分なウェブサイトを選択することが多い。彼らのターゲットは、特定の企業の従業員、特定の業界のメンバー、または特定のソフトウェアやサービスのユーザーである可能性があります。彼らは理想的な標的をロックする際にいくつかの要素を考慮する。
これには、ソーシャル・エンジニアリングの機会、地理的位置、セットアップの近さ、期待される金銭的利益、評判、脆弱性、悪用の容易さなどが含まれる。
2.ターゲット調査
次に、ターゲットのオンライン上での行動やパターンを調査する。これは、水飲み場(彼らが定期的に訪れる第三者のウェブサイト)を見つけるのに役立つ。ニュースサイト、業界フォーラム、ファイル形式コンバーター、オンラインショッピングプラットフォーム、チケット予約サイトなどである。
3.感染症
攻撃者は、悪意のあるコードをウェブサイトに注入することで、これらのウェブサイトの1つまたは複数を侵害する。このコードは、訪問者を騙してマルウェアをコンピュータやデバイスにダウンロードさせます。
4.誘惑
悪質なコードが「水飲み場」のウェブサイトに設定された後、悪質な行為者はターゲットが侵害されたウェブサイトを訪問するのを待つ。このことから、肉食動物が水飲み場で獲物を待ち構えていると例えられる。感染したウェブサイトは、被害者が罠にかかるための誘い水や餌なのだ。
5.搾取
被害者が「水飲み場」のウェブサイトにアクセスすると、コンピューターがマルウェアに感染したり、危険にさらされたりする。これは、ドライブバイダウンロードによって起こる可能性がある。これは、ユーザーの認識や同意なしにマルウェアが自動的にダウンロードされ、実行されるものである。
6.ペイロードデリバリー
水飲み場」ウェブサイトを通じてインストールされるマルウェアには、さまざまなペイロードが含まれる可能性がある。これは攻撃者の目的によって異なる。デバイスやネットワークへの不正アクセスを得ることが目的の可能性がある。
7.軌跡をカバーする
攻撃者は、標的のシステムを悪用して目的を達成すると、その痕跡を消そうとすることがよくあります。これには、ログファイルを操作または削除することで、自分たちの存在の痕跡を消すことが含まれます。攻撃者は、タイムスタンプを変更したり、特定のエントリを削除したり、あるいはログ設定を改ざんしてログを完全に記録しないようにすることさえあります。
ハッカーは、危殆化したシステム上の存在を隠すために、ルートキットのようなステルス技術を使用することさえある。ルートキットは、悪意のあるプロセスや活動を隠すためにオペレーティング・システムを変更します。
水飲み場襲撃の実例
2021年に グーグルのスレット・アドバイザリー・グループ(TAG)がが一連の水飲み場攻撃を発見した。これらの攻撃はiOSとmacOSデバイスを標的としていた。攻撃は主に香港で行われていた。攻撃は主に香港で行われており、ウェブサイトを侵害し、ゼロデイ・エクスプロイトを含む複数の脆弱性が組み合わされていました。 ゼロデイ脆弱性macOS Catalinaのゼロデイ脆弱性(CVE-2021-30869)も含まれていました。
水飲み場となったのは、メディアと民主化推進グループにリンクしたウェブサイトだった。攻撃者は、エクスプロイトチェーンを通じて脆弱なデバイスにバックドアをインストールした。これにより、攻撃者はさまざまな機能を利用できるようになった。これには、デバイスの識別、音声録音、画面キャプチャ、キーロギング、ファイル操作、root権限での端末コマンドの実行などが含まれる。
水飲み場攻撃からの保護
水飲み場攻撃を防ぐには、サイバーセキュリティ対策とユーザーの意識を組み合わせる必要がある。組織のオーナーとして、あなたができることは以下の通りである。
-
ソフトウェアとプラグインを常に最新の状態に保つ
ソフトウェアやプラグインを常にアップデートしておくことは、セキュリティを維持する上で非常に重要です。なぜなら、アップデートには既知の脆弱性に対するパッチが含まれていることが多く、不正アクセスやデータ漏洩、マルウェア感染につながる悪用から保護することができるからです。
-
最小特権の導入
最小特権の原則に従い、業務遂行に必要な権限とアクセス権のみをユーザーに付与する。ユーザー権限を制限することで、水飲み場攻撃が成功した場合の影響を軽減することができる。これは、攻撃者が特権をエスカレートさせ、ネットワーク内で横方向に移動する能力を低下させるためである。
-
ネットワーク・セグメンテーション
ウォータリングホール攻撃の影響を限定するために、ネットワークをより小さく隔離されたセグメントに分割する。こうすることで、マルウェアの拡散を制御し、封じ込めることができる。また、攻撃者が機密システムやデータにアクセスするのを防ぐこともできます。攻撃対象領域を縮小することで、ビジネスニーズと重要性に基づいたネットワークトラフィックの優先順位付けが可能になります。これにより、パフォーマンスが向上し、輻輳が緩和され、帯域幅の使用が最適化されます。
-
ウェブフィルタリングの導入
Webフィルタリングは、悪意のあるWebサイトへのアクセスをブロックすることで、水飲み場攻撃を防ぎます。Webフィルタリングソリューションは、不正なデータ流出も防ぐことができます。Webフィルタリングソリューションは、不正なデータ流出も防ぐことができます。
これは、マルウェアが使用する既知のコマンド・アンド・コントロール・サーバーへのアウトバウンド接続をブロックすることで実現します。これにより、水飲み場攻撃の影響を抑制し、機密情報の盗難や漏洩を防ぐことができます。
-
レガシー・システムを捨てる
レガシーシステムを捨てることで、ウォーターホール攻撃から組織を守ることができる。これは、悪用されやすい時代遅れのソフトウェアやインフラを排除することによって行われる。
最新のシステムやソフトウェアには、セキュリティ機能が組み込まれている。これには、高度な暗号化プロトコル、安全なコーディング手法、脅威検出機能などが含まれる。これらの機能により、攻撃者がシステムやネットワークを侵害することがより困難になっている。
まとめ
サイバー犯罪者は、高額な報酬を得られる可能性があることから、水飲み場攻撃を継続的に採用する動機付けとなっている。これには、貴重なリソースへの不正アクセスや機密データの取得も含まれます。
水飲み場攻撃を継続的に監視することで、強固なサイバーセキュリティ対策を展開することができます。これにより、日々進化するサイバー環境における新たな脅威を先取りすることができます。最終的には、ブランドの評判を守り、顧客との信頼を維持することができます。
あなたのドメインをメール詐欺から守りたいのであれば、当社の DMARCアナライザー.無料トライアル 無料トライアルを今すぐお試しください!
- 10ベストEメール保護のヒントと戦略- 2024年5月15日
- ブロックチェーンは電子メールのセキュリティ向上に役立つか?- 2024年5月9日
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日