水飲み場攻撃は、標的がよく利用するWebサイトを改ざんして感染を狙う標的型攻撃です。ドライブバイダウンロードとの違いを、SG試験の判断基準で整理します。

sg sg-security-overview threat_vulnerability malware unauthorized_access

まず結論

  • 水飲み場攻撃とは、標的となる組織や利用者がよく訪れるWebサイトをあらかじめ改ざんし、アクセスしてきた人をマルウェアに感染させる攻撃です。
  • SG試験では、「不特定多数ではなく、特定の組織・利用者を狙う攻撃か」を判断させる問題として出やすいです。

名前の由来は、動物が水飲み場に集まるのを待ち伏せするイメージです。

攻撃者が標的を直接攻撃するのではなく、標的が普段から使う場所を罠にする点がポイントです。

直感的な説明

水飲み場攻撃は、たとえるなら、

狙いたい人の家を直接攻めるのではなく、その人がよく行く店に罠を仕掛ける

ような攻撃です。

たとえば、ある業界の人がよく見る情報サイト、取引先のWebサイト、業務で使う関連サイトなどが改ざんされるとします。

利用者は、いつも通り信頼しているサイトを見ているだけです。 しかし、そのサイトに悪意のあるスクリプトや不正な誘導が仕込まれていると、マルウェア感染につながることがあります。

そのため、水飲み場攻撃は「怪しいサイトにアクセスしたから感染した」とは限りません。

正規サイトが改ざんされて、標的が待ち伏せされるという点を押さえると理解しやすいです。

定義・仕組み

水飲み場攻撃の基本的な流れは、次のように整理できます。

  1. 攻撃者が、標的組織の従業員がよく利用するWebサイトを調べる
  2. そのWebサイトを改ざんする
  3. 標的組織の従業員が、普段通りそのWebサイトにアクセスする
  4. 不正なスクリプトや偽装されたファイルにより、マルウェア感染を狙う
  5. 感染したPCを起点に、情報窃取や内部侵入につながる

IPAの「情報セキュリティ10大脅威」でも、標的型攻撃の手口として、標的組織が頻繁に利用するWebサイトを調査・改ざんし、従業員や職員がアクセスした際にマルウェア感染を狙う例が説明されています。参考:IPA 情報セキュリティ10大脅威

ここで大切なのは、水飲み場攻撃は標的型攻撃の入口として使われることがある点です。

単にWebサイトを改ざんするだけでなく、特定の組織や業界の利用者を狙って、感染の機会を作る攻撃です。

どんな場面で使う?

水飲み場攻撃は、次のような場面で問題になります。

  • 特定の企業や団体を狙う標的型攻撃
  • 業界関係者がよく見るWebサイトの改ざん
  • 取引先や関連団体のサイトを悪用した攻撃
  • 改ざんされた正規サイトからのマルウェア感染
  • 感染端末を足がかりにした内部ネットワークへの侵入

業務での対策としては、次のようなものがあります。

  • OSやブラウザを最新状態に保つ
  • ウイルス対策ソフトを導入・更新する
  • Webフィルタリングで危険な通信を制限する
  • EDRなどで端末の不審な動きを検知する
  • 標的型攻撃を想定したインシデント対応体制を整える
  • 利用者に、警告画面や不審なダウンロードへの対応を教育する

SG試験では、「利用者がよく見るWebサイトを改ざん」「標的組織の従業員を狙う」「アクセスした端末に感染」といった表現があれば、水飲み場攻撃を疑います。

よくある誤解・混同

ドライブバイダウンロードとの違い

ドライブバイダウンロードは、Webサイトを閲覧しただけで、利用者が気づかないうちにマルウェアをダウンロードさせる攻撃です。

水飲み場攻撃は、標的がよく利用するWebサイトを改ざんして待ち伏せする攻撃です。

  • 水飲み場攻撃:誰を狙うか、どこで待ち伏せするかに注目
  • ドライブバイダウンロード:どうやってマルウェアを入れるかに注目

つまり、水飲み場攻撃の中で、感染方法としてドライブバイダウンロードが使われることがあります。

SG試験では、選択肢に「標的がよく使うWebサイトを改ざん」とあれば水飲み場攻撃、「閲覧しただけでマルウェアをダウンロード」とあればドライブバイダウンロードを疑います。

フィッシングとの違い

フィッシングは、偽サイトや偽メールなどを使って、IDやパスワード、クレジットカード情報などを入力させる攻撃です。

一方、水飲み場攻撃は、標的が普段使う正規サイトを改ざんして、アクセスしてきた利用者を感染させる攻撃です。

  • フィッシング:偽のページへ誘導して情報を入力させる
  • 水飲み場攻撃:標的がよく使うサイトを改ざんして待ち伏せする

選択肢で「偽サイトに誘導」「認証情報を入力させる」とあれば、フィッシングを疑います。

Webサイト改ざんとの違い

Webサイト改ざんは、Webページの内容を不正に書き換える行為です。

水飲み場攻撃では、その改ざんを利用して、標的の利用者をマルウェア感染させることがあります。

  • Webサイト改ざん:Webサイトを書き換える行為
  • 水飲み場攻撃:標的が来る場所を罠にする攻撃シナリオ

SG試験では、単なる改ざん被害なのか、標的の利用者を待ち伏せして感染させる攻撃なのかを切り分けます。

まとめ(試験直前用)

  • 水飲み場攻撃は、標的がよく利用するWebサイトを改ざんして待ち伏せする攻撃です。
  • 判断ポイントは、特定の組織・業界・利用者を狙うことです。
  • ドライブバイダウンロードは、閲覧をきっかけにマルウェアを入れる感染手口です。
  • フィッシングは、偽サイトなどで情報を入力させる攻撃です。
  • SG試験では、狙い方の説明なのか、感染方法の説明なのかを分けて考えます。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る