アプリ開発者を狙った「水飲み場」型攻撃の可能性

no extension

最近 Java の脆弱性を利用した攻撃が話題になっている。 被害を受けた企業には Facebook や Apple といった有名どころも挙がっている。 セキュリティ企業のエフセキュアは,ブログにおいて,これらの攻撃がアプリ開発者を狙った攻撃である可能性を指摘している。

今回の攻撃は「水飲み場」型攻撃(“watering hole” attack)である点が特徴と言える。 「水飲み場」型攻撃とは

「株式会社シマンテックによると、水飲み場型攻撃とは、標的ユーザーが利用する可能性の高いサイトに悪質なコードを仕掛けておき、ドライブバイダウンロードでマルウェアに感染させる手法。 攻撃者はまず、標的ユーザーがアクセスしそうなサイトを調査し、それらのサイトに脆弱性がないかチェック。 脆弱性の見つかったサイトに侵入し、マルウェアをホスティングしている別サイトへ誘導するHTMLやJavaScriptのコードを注入する。 その後は、水飲み場で獲物を待ち伏せるライオンのように、標的ユーザーがアクセスしてくるのを待つ――という流れだ。」
(「IEへのゼロデイ攻撃で用いられた“水飲み場型”攻撃 -INTERNET Watch」より)

といった攻撃手法である。 問題は「水飲み場」として狙われたのがモバイル・アプリ開発者の Web サイトだったことだ。

エフセキュアブログで紹介されている筋書きは大体こんな感じだ。

  1. モバイル機器をハッキングしたい
  2. それならモバイル機器のアプリを作っている開発者をハッキングするのがいいだろう。 そうすれば開発者のプログラムにいくらでもコードを忍び込ませることができる
  3. イマドキの開発者は Mac を使ってそうだ。 しかも Mac ユーザはセキュリティが甘い
  4. ではアプリ開発者が集まりそうな Web サイトに Mac 向けの malware を仕掛けることにしよう

ここでポイントとなるのは「水飲み場」で malware を食わされたユーザ・組織がどのくらいいるのかだ。 Facebook のセキュリティチームは第三者組織と組み, Facebook の他に数社が malware に感染していることを突き止めたらしい。

「「数社」とは、巣窟へ張られた、ほんの一握りのユニークな接続を意味するのだろうか? あるいは、もっと多数の接続の中から、Facebookが「数社」しか特定できなかったということだろうか?」 (「エフセキュアブログ : 数社がハッキングされたことをFacebookが認める」より)

さて、真相はいかに。