水飲み場攻撃は“まだ現役” 国内の被害事例で判明したその巧みな手法：セキュリティニュースアラート

JPCERT/CCは、水飲み場攻撃の国内事例を報告した。水飲み場攻撃は他のセキュリティインシデントと比較して報告事例が少なく、対策を怠りがちになるため注意が必要だ。国内被害事例からその巧妙な手法が明らかになった。

[後藤大地，有限会社オングス]

　JPCERTコーディネーションセンター（JPCERT/CC）は2024年12月19日、近年あまり注目されることのない水飲み場攻撃の国内における事例を報告した。水飲み場攻撃は他のセキュリティインシデントと比較して報告事例が少なく、対策を怠りがちになる。しかし攻撃者はさまざまな攻撃を継続的に繰り返しており、わずかな油断が大規模な被害につながることがある。

　水飲み場攻撃は、被害者が悪意のあるWebサイトにアクセスするのを待つ攻撃手法だ。被害者がWebサイトにアクセスした際に、悪意のあるJavaScriptを介してマルウェアを配布したり、被害者をだましたりしてマルウェアをダウンロードさせる。

忘れられがちな「水飲み場攻撃」　国内被害事例で学ぶその巧妙な手法

　報告では、水飲み場攻撃の事例として、2023年に確認された大学研究室のWebサイト改ざんの事例を取り上げている。この事例では侵害された大学研究室のWebサイトに被害者がアクセスし、偽の「Adobe Flash Player」アップデート通知にだまされ、指示に従いアップデート操作をしたことでマルウェアに感染した。

　侵害された大学研究室のWebサイトには日本語のポップアップメッセージを表示させるJavaScriptが設置されており、大学のセキュリティを信用していた被害者は疑わず、自身の手でマルウェアをダウンロード、実行している。

　ダウンロードファイルは「おとり文書」と「マルウェア本体」で構成された実行可能ファイル（.exe）で、実行するとAdobe Flash Playerアップデートに成功したことを示す「おとり文書」を表示して、バックグラウンドでエクスプローラーのプロセスにマルウェアを注入する。

　JPCERT/CCは調査の過程で、同じ攻撃グループによる別の攻撃を確認している。その攻撃では経済産業省の配布物に偽装した実行可能ファイルを配布し、上記と同様に「おとり文書」を表示してマルウェアをエクスプローラーのプロセスに注入したとされる。

　水飲み場攻撃は基本的に不特定多数を標的にするが、特定個人を標的にすることもある。その場合は、SNSなどを通じて被害者と信頼関係を醸成し、侵害した信用のあるWebサイトなどへ誘導して攻撃を成功させるケースもある。

　今回の事例では大学の信用が悪用された。近年はインターネットのどこに悪意が潜んでいるか分からない。常に警戒を怠らず、安全なWebブラウザ利用を心掛ける必要がある。