IT用語集 2023/10/16

水飲み場攻撃とは？わかりやすく10分で解説

コラム

はじめに

近年、インターネットの普及とともに、サイバー攻撃の手法も多様化してきました。中でも「水飲み場攻撃（Watering Hole Attack）」は、特定の組織や業界など、狙ったターゲットにだけ感染や侵害を広げる目的で使われることが多い手口として知られています。この記事では、水飲み場攻撃がどのように成立するのか、どこが厄介なのか、そして個人・組織が現実的に取れる対策は何かを、順を追って整理します。読み終えたときに「自社（自分）はどこから手を付けるべきか」を判断できる状態を目指します。

水飲み場攻撃とは？

水飲み場攻撃とは、ターゲットが日常的にアクセスするウェブサイト（業界団体、取引先サイト、業務で参照するポータル、採用・研究関連サイトなど）をあらかじめ改ざんし、そのサイトを訪れた人だけにマルウェア感染や不正な処理を起こさせる攻撃です。動物が水を飲みに集まる場所を狙って待ち伏せする様子になぞらえ、「水飲み場」という名前で呼ばれます。

注意したいのは、攻撃者が狙うのは「そのサイトの利用者」であり、サイト運営者そのものが主目的とは限らない点です。つまり、自社サイトが改ざんされて被害者を生む側にも、よく見るサイトが改ざんされて感染する側にもなり得ます。

歴史的背景

サイバー攻撃は、無差別にばらまくタイプ（スパムや単純なウイルス）から、特定の組織・業界を狙うタイプへと広がってきました。水飲み場攻撃は、いわゆる標的型攻撃（狙い撃ち）の文脈で語られることが多く、「最初の侵入経路（初期侵入）」をつくる手段として使われます。

メールの添付ファイルやリンクを使う手口は、社内教育やメール対策で警戒されやすくなりました。その結果、攻撃者は「メール以外の入口」も探します。そこで利用されやすいのが、業務で当たり前に閲覧されるサイトを踏み台にする水飲み場攻撃です。

なぜ「水飲み場」なのか？

水飲み場攻撃は、ターゲットが「自分から」アクセスする場所を狙います。利用者にとって、そのサイトは普段から見ているため、心理的な警戒が下がりやすいのが厄介です。さらに、攻撃者はアクセスしてきた相手の環境（OS、ブラウザ、プラグイン、地域、IP帯など）に応じて挙動を変え、狙った相手にだけ攻撃を成立させるよう工夫することもあります。

水飲み場攻撃の具体的な手口

水飲み場攻撃は「サイトを改ざんして終わり」ではありません。実際には、ターゲット選定から侵入後の横展開まで、複数の段階で組み立てられます。ここでは典型的な流れを、イメージしやすい順番で整理します。

水飲み場攻撃のイメージ

ターゲットの選定

攻撃者はまず、狙う業界や組織、役職、担当領域などを定めます。目的はさまざまですが、代表例としては次のようなものがあります。

機密情報（研究開発、入札、設計、顧客情報など）の窃取
業務停止や混乱を狙った破壊・改ざん
取引先へ攻撃を広げるための足がかりづくり

ここで重要なのは、攻撃者が「誰が、どんな情報にアクセスするか」を事前に調べる点です。例えば、業界団体サイトや取引先ポータル、特定の製品サポートサイトなど、「その担当者が見る確率が高い場所」が狙われやすくなります。

ウェブサイトの侵害（改ざん）

次に攻撃者は、ターゲットが頻繁に訪れるサイトを侵害します。侵害の方法は一つではありませんが、よくあるパターンは次の通りです。

CMSやプラグインの脆弱性を突いて改ざんする
管理画面の認証情報（ID/パスワード）を盗み、正規の権限で改ざんする
サーバーやクラウド設定の不備を突き、ファイルを書き換える
広告配信や外部スクリプト経由で悪性コードを混入させる（サプライチェーン的な形）

改ざんの内容は、ページに悪性のJavaScriptを埋め込む、外部の不正サイトへ誘導する、閲覧環境に応じて別のコンテンツを返す、といった形が典型です。「見た目は普段どおり」でも、裏側のコードが差し替えられているケースがあるため、利用者側は気づきにくくなります。

ターゲットの感染（侵入の成立）

侵害されたサイトにターゲットがアクセスすると、次のような形で被害が起きます。

ブラウザやプラグインの脆弱性を突かれ、マルウェアが実行される
不正なページにリダイレクトされ、偽のログイン画面で認証情報を入力してしまう
「更新が必要」などの表示で不正ソフトをダウンロードさせられる

ここでのポイントは、利用者が「怪しい添付ファイルを開く」などの行動をしなくても、閲覧だけで侵害が成立する可能性があることです（いわゆるドライブバイダウンロードの文脈）。もちろん、すべてが閲覧だけで即感染するとは限りませんが、攻撃者は成立確率を上げるために、複数の誘導や手段を組み合わせます。

侵入後の行動（情報窃取・横展開）

侵入が成立すると、攻撃者は端末内の情報を盗むだけでなく、社内ネットワークやクラウドへ横展開を狙うことがあります。例えば、ブラウザに保存された認証情報、業務アプリのトークン、端末内の文書、メールやチャットの履歴などが狙われやすい対象です。

この段階になると、「どのサイトを見たのが原因か」が分かりにくくなり、被害の切り分けに時間がかかることがあります。だからこそ、入口対策だけでなく、侵入後を前提とした設計も重要になります。

実際の被害事例

水飲み場攻撃の特徴は、標的が明確で、被害が表に出にくいことです。ここでは典型的な被害のパターンを、事例の“型”として整理します（個別案件の断定ではなく、一般に報告される傾向としての説明です）。

政府機関・公共分野への攻撃

政府機関や公共分野では、関係者が日常的に参照するポータルや関連サイトを経由して侵入が試みられることがあります。狙いは、機密情報の窃取や、関係組織へ攻撃を広げる足がかりづくりです。

こうしたケースでは、攻撃が長期間にわたり潜伏し、発見が遅れることがあります。「ある日突然気づく」のではなく、ログや端末調査の結果として後から判明することも少なくありません。

金融機関・重要インフラへの攻撃

金融機関や重要インフラ関連では、業務上アクセス頻度の高い情報サイトやサポートサイトなどが狙われることがあります。被害は情報流出だけでなく、業務停止や不正送金の足がかりになる可能性もあるため、影響が大きくなりがちです。

特に「侵入後の横展開」が成立すると、端末単体の感染に見えて、実際は組織全体へ広がるリスクがあります。

水飲み場攻撃から身を守る方法

水飲み場攻撃は、利用者側だけが気をつけても限界があります。「利用者（閲覧する側）」と「運営者（サイトを提供する側）」の両方で対策を積み上げ、攻撃が成立しにくい状態をつくることが現実的です。

セキュリティソフト／EDRの導入と運用

端末側では、ウイルス対策ソフトだけでなく、挙動検知や封じ込めを行える仕組み（EDRなど）も含めて検討します。重要なのは、導入して終わりではなく、定義ファイル・エンジンの更新、アラートの確認、初動対応の手順化まで運用として回すことです。

水飲み場攻撃は入口が見えにくいことがあるため、端末の挙動（不審なプロセス、外部通信、資格情報の取り扱い）を早めに捉えられると、被害の拡大を抑えやすくなります。

OSやブラウザ、ソフトウェアの定期的な更新

水飲み場攻撃は、ブラウザや関連ソフトの脆弱性が入口になることがあります。 OSやソフトウェアの更新は、地味ですが効果が大きい対策です。

OSとブラウザは、基本的に自動更新を有効にする
業務で必要なプラグインや拡張機能は、最小限に絞る
更新できない古い端末・アプリは、利用範囲やアクセス権を見直す

「更新が遅れている端末が1台ある」だけで、攻撃者にとっては入口になります。組織では、更新状況の見える化もセットで考えると安全側に寄せられます。

ブラウザ利用の防御（分離・制御・制限）

水飲み場攻撃は「閲覧」が起点になり得るため、ブラウザ周りの対策は相性がよい分野です。環境に応じて、次のような考え方が有効です。

危険度の高いサイト閲覧は、業務端末と切り分ける（専用端末、仮想環境など）
未知のサイトや外部リンクは、隔離された環境で開く（ブラウザ分離の考え方）
ダウンロードやスクリプト実行の制御を強める（組織ポリシー）

「全員が同じ自由度でブラウジングできる」状態は便利ですが、攻撃者にとっても都合が良くなります。業務上の必要性に合わせて、閲覧のルールと環境を分けるのが現実的です。

データの暗号化とバックアップ

水飲み場攻撃の直接の目的が情報窃取であっても、侵入後に別の攻撃（破壊、改ざん、ランサムウェアなど）へつながる可能性はあります。そのため、重要データは暗号化し、バックアップは「いざというときに本当に復元できるか」まで含めて準備します。

機密情報を保存する場所と権限を整理し、最小権限に寄せる
バックアップは世代管理し、復元テストを実施する
バックアップ先が同時に暗号化されないよう、分離や保護を考える

サイト運営者としての対策（脆弱性診断・改ざん検知）

自社がウェブサイトを運営している場合、被害者にも加害者にもなり得ます。そのため、運営者側では「侵害されにくい」だけでなく、「侵害されたら早く気づく」設計が重要です。

CMS・プラグインの更新を継続し、不要な機能は止める
管理画面は強固な認証（多要素認証）とアクセス制限をかける
ファイル改ざん検知やログ監視で、異常を早めに拾う
外部スクリプトや広告など、第三者要素の取り込みを見直す

脆弱性診断は「外部の目」で弱点を見つける手段として有効です。ただし、診断しただけで安全になるわけではありません。診断結果の是正を継続し、運用として回すことが重要です。

まとめ

水飲み場攻撃は、ターゲットがよく利用するウェブサイトを侵害し、そこにアクセスした利用者を狙う攻撃です。普段から見慣れたサイトが入口になるため、利用者が気づきにくく、単純な注意喚起だけでは防ぎにくい点が厄介です。

対策としては、OS・ブラウザの更新、端末防御（EDR等）、ブラウザ利用の制御、重要データの保護と復元体制、そしてサイト運営者側のハードニングと改ざん検知を組み合わせ、攻撃が成立しにくい状態をつくることが現実的です。「入口を減らす」「侵入しても広げない」「早く気づいて止める」の3点を意識すると、取り組みの優先順位が付けやすくなります。