水飲み場とサイバー攻撃、何の関係が……?
ターゲットが集まる「場所」に着目した攻撃手法
Q:「水飲み場攻撃」ってなに?
A:ターゲットを絞り込む標的型攻撃の手法の1つ。
特定の企業や組織をターゲットにし、その企業や組織が日常的にアクセスするWebサイトを改竄し、閲覧することによってマルウェアに感染させるサイバー攻撃を指す。
おすすめの関連記事
年始のメールチェック、不審なメールに気をつけよう
サバンナなどにある「水飲み場」を定期的に訪れる草食動物を狙って襲う肉食獣の捕食行動を模して命名された。
攻撃者は、ターゲットの業種などから訪問するサイトを推測し、当該サイトの脆弱性を突いて改竄。そのWebサイトを訪れたターゲットのユーザーは、知らないうちに他サイトへ誘導され、マルウェアに感染させられてしまう。
そしてターゲットとなった企業や組織は重要な情報を抜き取られてしまったり、そのシステムが踏み台として悪用されてしまうことも。
日常的に利用するサイトであるからこそ、ターゲットとされた企業や組織は改竄に気がつかないまま被害に遭う可能性が高い。
だからこそ、たとえ改竄されたWebサイトに誘導されたとしてもマルウェアに感染しないセキュリティ対策が必須であると同時に、「水飲み場」になる可能性のあるWebサイトにおいても、容易に改竄されることのない対策が必要となる。
この連載の記事
-
第45回
デジタル
ペネトレーションテストはサイバー攻撃の「模擬戦」です -
第44回
デジタル
企業・団体は取得したが最後、厳重保護せねばならぬ「PII」とは? -
第43回
デジタル
「3Dセキュア2.0」は怪しいときだけ認証求める新システム -
第42回
デジタル
あなたの会社は対応済? 成りすまし迷惑メールを削減する「DMARCポリシー」 -
第41回
デジタル
あなたのスマホデータも裁判の証拠に!? 「デジタルフォレンジックス」ってなに? -
第40回
デジタル
個人情報を扱う企業が続々契約する「サイバー保険」ってなに? -
第39回
デジタル
「サンドボックス」が実験場ってどういうこと? -
第38回
デジタル
サイバー攻撃を引き寄せる「ハニーポット」は何のためにある? -
第37回
デジタル
「連絡先が消えた」と友だちからメッセージ。それは「LINEの乗っ取り」のサインだ! -
第36回
デジタル
AIに有名人の声を模倣させて金銭を騙し取る「AI音声詐欺」が怖い -
第35回
デジタル
「Google ダークウェブレポート」であなたの個人情報漏えいを確認 - この連載の一覧へ
