PR

 数年前まで、標的型攻撃と言えば、メールを使った攻撃を指していたが、2012年ごろから、Webを使った標的型攻撃が出現している。いわゆる「水飲み場型攻撃」だ(関連記事:水飲み場型攻撃 )。攻撃者は、企業や組織が運営する正規のWebサイトに不正侵入してWebページを改ざんし、ウイルスを感染させるような“わな”を仕掛ける。

 通常は、ソフトウエアの脆弱性を突くプログラムが仕込まれているので、Webページにアクセスするだけで、ウイルスに感染する恐れがある。JavaやInternet Explorer(IE)といった、広く使われているソフトウエアの脆弱性を悪用することが多い。

 「Webページを改ざんしてワナを仕掛けて、アクセスしたユーザーにウイルスを感染させる」という手口自体は目新しくはない。「ドライブバイダウンロード攻撃(DbD攻撃)」などと呼ばれ、数年前から盛んに行われている。水飲み場型攻撃が異なるのは、改ざんするWebサイトを“厳選”すること。ウイルスを感染させたい企業・組織の従業員がアクセスしそうなWebサイトにわなを仕掛ける。いわば、受動的な「標的型攻撃」なのだ。

標的ユーザーにだけウイルスを配布

 では、「標的とする企業・組織の従業員がアクセスしそうなWebサイト」はどうやって調べるのだろうか。考えられる方法の一つが、当たりを付けたWebサイトに侵入して、標的企業の従業員がアクセスしているかどうかを調べることだ。

 JPCERTコーディネーションセンター(JPCERT/CC)分析センターの竹田春樹リーダーによると、「攻撃者はまず、標的とする企業・組織からのアクセスがある程度想定できるWebサイトをリストアップし、それらのWebサイトに侵入する。そして、どういったユーザーがアクセスしているのかを調査し、標的企業の従業員が実際にアクセスしていることを確認したら、ウイルス感染のわなを仕掛ける」という。