対象試験と出題頻度
詳細をクリックして確認
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
★★★☆☆
ランクB(標準)
用語の定義
水飲み場型攻撃とは、一言で言うと「標的がよく訪れるWebサイトを改ざんし、アクセスした瞬間にマルウェアに感染させる攻撃手法」のことです。
イメージとしては、「ライオンが水飲み場で獲物を待ち伏せして狩りをする様子」と同じです。
英語では「Watering Hole Attack」と呼ばれます。サバンナで動物たちが必ず立ち寄る水飲み場に、肉食動物が潜んで待ち伏せするように、攻撃者は標的が日常的にアクセスするWebサイトに罠を仕掛けて待ち構えます。
解説
水飲み場型攻撃は、標的型攻撃(APT)の手法の一つです。標的型攻撃メールのように直接メールを送るのではなく、標的が「自ら訪れる」Webサイトを利用する点が特徴です。攻撃の流れは以下の通りです。
- ステップ1:標的の調査 – 攻撃対象の組織や従業員がよく利用するWebサイト(業界団体、ニュースサイト、取引先など)を特定する
- ステップ2:Webサイトの改ざん – 特定したWebサイトの脆弱性を突いて侵入し、悪意あるコードを埋め込む
- ステップ3:待ち伏せ – 標的がそのWebサイトにアクセスするのを待つ
- ステップ4:感染 – 標的がアクセスすると、自動的にマルウェアがダウンロード・実行される(ドライブバイダウンロード)
水飲み場型攻撃の恐ろしさは、「信頼しているサイト」を経由するため、被害者が警戒しにくい点にあります。標的型攻撃メールなら「不審なメールに注意」と教育できますが、いつも見ている業界ニュースサイトが罠になっているとは想像しにくいものです。また、正規のサイトが改ざんされているため、URLだけでは見分けがつきません。
具体的な活用例・対策
水飲み場型攻撃を防ぐために、以下のような対策が有効です。
- OSやブラウザの最新化: 脆弱性を突かれないよう、常に最新のセキュリティパッチを適用する
- ブラウザのセキュリティ設定: JavaScriptやプラグインの自動実行を制限し、不要な機能を無効化する
- Webフィルタリング: 危険と判定されたサイトへのアクセスを自動的にブロックする
- ゼロデイ攻撃対策: サンドボックス型のセキュリティ製品で、未知の脅威を検知・隔離する
- ネットワーク監視: 不審な外部通信(C&Cサーバーへの接続など)を検知して遮断する
- EDR(Endpoint Detection and Response): 端末上での不審な挙動をリアルタイムで検知・対応する
試験ではこう出る!
情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 標的型攻撃(APT)
- ドライブバイダウンロード(Webサイト閲覧で自動感染)
- Webサイト改ざん
- ゼロデイ攻撃
- エクスプロイトキット(脆弱性攻撃ツール)
- C&Cサーバー(指令サーバー)
試験問題で「標的がよく利用するWebサイトを改ざんして待ち伏せる」「正規のサイトにアクセスしたらマルウェアに感染した」といった記述があれば、それは「水飲み場型攻撃」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 水飲み場型攻撃に関する説明として、最も適切なものはどれでしょうか?
- A. 標的がよく訪れるWebサイトを改ざんし、アクセス時にマルウェアに感染させる攻撃手法
- B. 取引先や上司になりすましたメールを送り、添付ファイルを開かせてマルウェアに感染させる攻撃手法
- C. 偽のWebサイトに誘導し、IDやパスワードを入力させて情報を詐取する攻撃手法
正解と解説を見る
正解:A
解説:
水飲み場型攻撃(Watering Hole Attack)とは、標的がよく訪れる正規のWebサイトを改ざんし、そのサイトにアクセスした瞬間にマルウェアに感染させる手法です。ライオンが水飲み場で獲物を待ち伏せる様子に例えられています。
Bは「標的型攻撃メール(スピアフィッシング)」、Cは「フィッシング」の説明です。水飲み場型攻撃の特徴は「正規のサイトを改ざんして待ち伏せる」点にあり、直接メールを送る手法とは異なります。
