ハッキングの大半は、被害者が何らかの過ちを犯すことで始まる。正規のサイトによく似たフィッシングサイトでパスワードを入力してしまったり、悪意ある添付ファイルを職場のコンピューターでうっかりダウンロードしたりといった過ちだ。
ところが、ある極めて悪質な手口による攻撃は、本物のウェブサイトを訪問しただけで始まる。「水飲み場型攻撃」と呼ばれる攻撃である。この脅威は以前から存在するものだが、最近のいくつかの有名な事件で使用されている。
最近の最も悪名高い水飲み場型攻撃は、中国のウイグル人イスラム教徒のiPhoneユーザーを2年間にわたって標的にしたもので、2019年に明るみになった。だが、脅威情報の研究者たちは、水飲み場型攻撃はかなり一般的に使われていると強調している。
その理由はおそらく、きわめて強力で生産性の高い攻撃であるからであろうという。インターネットセキュリティ企業のESETは水飲み場型攻撃を1年に複数回検出しており、グーグルのThreat Analysis Group(TAG)も同様に、月に1回程度の攻撃を確認しているという。
中央の“水源”を汚染
「水飲み場型攻撃」という名称は、中央の水源を汚染して、その水を飲んだ人を感染させることに由来している。また、水飲み場のそばに身を潜めて、獲物がやって来るまで待つ捕食者も連想させる。
水飲み場型攻撃は正規のウェブサイト上でひっそりと実施されることが多く、サイトの所有者がおかしな徴候に気づかないことがあるので発見が難しい場合がある。また、発見できても、攻撃がいつから始まっていたのか、被害者は何人いるのかはっきりしないことが多い。
「攻撃者が民主活動家を狙っているとしましょう。そのために、ある民主活動家のウェブサイトをハッキングするかもしれません。潜在的な標的の全員がそこを訪れることを知っているからです」と、グーグルのTAGのディレクターのシェーン・ハントリーは言う。
「こうした攻撃がこれほど危険で、これほどまでに高い成功率をもたらせるのは理由があります。標的が何かをしたり、だまされたりしなければならないという重要なステップを省いているからです。実際にクリックしなければならないものを用意して活動家を狙っても、活動家たちは非常に慎重なのでクリックさせることは困難かもしれません。そこで代わりに、活動家がすでに訪問している場所へ行くのです。そうすることで、他人のデヴァイスを悪用する段階へとただちに移ることができます」
例えばグーグルのTAGは11月上旬、MacやiPhoneを使っている香港の訪問者を狙った水飲み場型攻撃に関する調査結果を発表している。攻撃によって多数のメディアと民主政治団体のウェブサイトが侵害されたのだ。収集できた証拠からは、攻撃がどの程度の期間続いていたのかや、どれくらいの数のデヴァイスが影響を受けたかをTAGは確認できていない。
2種類の被害者
水飲み場型攻撃には、常に2種類の被害者が存在する。攻撃者が悪意あるインフラを埋め込むために侵害する正規のウェブサイトやサーヴィスと、そこを訪問する際に侵害されるユーザーである。
攻撃者は足跡を最小限に抑えることにますます長けるようになっており、侵害されたウェブサイトやサーヴィスを、被害者と外部の悪意あるインフラとをつなぐ単なるパイプとして利用している。このためユーザーは、おかしな徴候にまったく気づかないのだ。
このやり方なら、攻撃者は侵害されたサイトですべてを構築する必要がない。ハッカーにとって好都合なことに、攻撃が簡単になり、追跡も困難になる。
ウェブサイトへの訪問を実際のハッキングにつなげるには、攻撃者は被害者のデヴァイス上のソフトウェアの欠陥を利用できる必要がある。そうした欠陥はブラウザーのバグに起因する脆弱性であることが多い。バグを利用することで、攻撃者はスパイウェアやその他の悪意あるソフトウェアをインストールするために必要なアクセス権を手に入れられるのだ。
もしハッカーが広い範囲に罠を仕掛けることを強く望んでいる場合は、できるだけたくさんの種類のデヴァイスとソフトウェアのヴァージョンを利用できるようにインフラを構築するだろう。しかし、水飲み場型攻撃は無差別に見えるかもしれないが、ハッカーはデヴァイスの種類や、IPアドレスの送信元の国などブラウザーが収集するほかの情報を利用することで、より範囲を絞って被害者を狙うことができると研究者は指摘する。
そんな水飲み場型攻撃に関してESETは11月上旬、イエメンを狙った攻撃に関する調査結果を発表した。この調査結果により、水飲み場型攻撃がどのように機能するのかが明らかになっている。この攻撃で侵害されたウェブサイトには、イエメン、サウジアラビア、イギリスのメディア、イエメンとシリアのインターネットサーヴィスプロヴァイダー、イエメン、イラン、シリアの政府機関、さらにはイタリアと南アフリカの航空宇宙・軍事技術関連企業のものまでもが含まれていたのだ。
「このケースで攻撃者は20を超える異なるウェブサイトを侵害しましたが、侵害された人数が非常に少なかったことが注目に値します」と、ESETのマルウェア研究者のマチュー・ファウは言う。ファウは今回の調査結果を、このほどワシントンD.C.で開催されたセキュリティカンファレンス「CYBERWARCON」で発表した。
「侵害されたウェブサイトへの訪問者のうち、自身が侵害されたのはほんのひと握りでした。正確な人数の特定は困難ですが、おそらく20〜30人を超えることはないでしょう。また一般的に言って、ほとんどの水飲み場型攻撃はサイバースパイ集団によるもので、非常に厳選された標的を侵害しようとします」
攻撃を検出する試み
ESETのファウらは、オープンインターネットをスキャンして侵害に特有の兆候を探すことで、水飲み場型攻撃をより簡単に検出し、公開できるシステムの開発に取り組んできた。水飲み場型攻撃は極めて気づきにくく、追跡できない場合があるからこそ、こうしたツールは非常に貴重だ。早期に攻撃を検知できれば、被害を受ける可能性のある人々を研究者がより多く守れるだけでなく、攻撃者が用いているインフラや、配布しているマルウェアを診断できる可能性も高まる。
「誤警報の数を減らしながら、できるだけたくさんの攻撃を発見できるように、まだツールを調整している最中です」と、ファウは語る。「それでも、こうした攻撃を早期に発見することは大切です。さもなければ完全に見逃してしまう可能性がありますから。攻撃者は侵害したウェブサイトからすぐに痕跡を消しますし、そうなれば調査するのが非常に困難になります」
自分がもっているデヴァイスが水飲み場型攻撃に感染するリスクを完全になくすことは不可能である。しかし、コンピューターとスマートフォンのソフトウェアのアップデートを怠らず、デヴァイスを定期的に再起動すれば、特定の種類のマルウェアを追い出して自分を守ることができるのだ。
※『WIRED』によるセキュリティの関連記事はこちら。
TEXT BY LILY HAY NEWMAN