静かなるハッキング手法「水飲み場型攻撃」が、あなたを狙っている

正規のウェブサイトを侵害することでサイトの訪問者のデバイスをハッキングする「水飲み場型攻撃」という手法が広まっている。水源を汚染して水を飲んだ人を感染させる手口に由来するこのハッキング手法は、静かに実行されることから成功率が高く、その危険性も高まっている。

TEXT BY LILY HAY NEWMAN

WIRED(US)

ハッキングの大半は、被害者が何らかの過ちを犯すことで始まる。正規のサイトによく似たフィッシングサイトでパスワードを入力してしまったり、悪意ある添付ファイルを職場のコンピューターでうっかりダウンロードしたりといった過ちだ。

ところが、ある極めて悪質な手口による攻撃は、本物のウェブサイトを訪問しただけで始まる。「水飲み場型攻撃」と呼ばれる攻撃である。この脅威は以前から存在するものだが、最近のいくつかの有名な事件で使用されている。

最近の最も悪名高い水飲み場型攻撃は、中国のウイグル人イスラム教徒のiPhoneユーザーを2年間にわたって標的にしたもので、2019年に明るみになった。だが、脅威情報の研究者たちは、水飲み場型攻撃はかなり一般的に使われていると強調している。

その理由はおそらく、きわめて強力で生産性の高い攻撃であるからであろうという。インターネットセキュリティ企業のESETは水飲み場型攻撃を1年に複数回検出しており、グーグルのThreat Analysis Group(TAG)も同様に、月に1回程度の攻撃を確認しているという。

中央の“水源”を汚染

「水飲み場型攻撃」という名称は、中央の水源を汚染して、その水を飲んだ人を感染させることに由来している。また、水飲み場のそばに身を潜めて、獲物がやって来るまで待つ捕食者も連想させる。

水飲み場型攻撃は正規のウェブサイト上でひっそりと実施されることが多く、サイトの所有者がおかしな徴候に気づかないことがあるので発見が難しい場合がある。また、発見できても、攻撃がいつから始まっていたのか、被害者は何人いるのかはっきりしないことが多い。

「攻撃者が民主活動家を狙っているとしましょう。そのために、ある民主活動家のウェブサイトをハッキングするかもしれません。潜在的な標的の全員がそこを訪れることを知っているからです」と、グーグルのTAGのディレクターのシェーン・ハントリーは言う。

「こうした攻撃がこれほど危険で、これほどまでに高い成功率をもたらせるのは理由があります。標的が何かをしたり、だまされたりしなければならないという重要なステップを省いているからです。実際にクリックしなければならないものを用意して活動家を狙っても、活動家たちは非常に慎重なのでクリックさせることは困難かもしれません。そこで代わりに、活動家がすでに訪問している場所へ行くのです。そうすることで、他人のデバイスを悪用する段階へとただちに移ることができます」