JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「近年の水飲み場攻撃事例 Part2 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、近年あまり注目されることのない水飲み場攻撃の国内における事例を報告した。

1回目の報告「近年の水飲み場攻撃事例 Part1 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ」では、2023年の大学研究室Webサイト改ざん事例を取り上げたが、2回目となる今回は、2023年のメディア関連Webサイトの悪用事例を紹介している。

  • 近年の水飲み場攻撃事例 Part2 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

    近年の水飲み場攻撃事例 Part2 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

水飲み場攻撃とは

水飲み場攻撃(Watering Hole Attack)は、被害者が悪意のあるWebサイトにアクセスするのを待つ攻撃手法。被害者がWebサイトにアクセスした際に、悪意のあるJavaScriptを介してマルウェアを配布したり、被害者をだましてマルウェアをダウンロードさせたりする。

メディア関連のWebサイト悪用事例

紹介されている事例では、某メディア関連のWebサイトが改ざんされ、悪意のあるLZH形式のアーカイブファイルが配布された。アーカイブファイルにはLNKファイルが含まれており、このファイルを開くことで最終的にマルウェアに感染したとされる。

  • 侵害経路 - 引用:JPCERTコーディネーションセンター

    侵害経路 引用:JPCERT/CC

この攻撃は標的型だったとみられ、BASIC認証をパスした特定の個人にのみアーカイブファイルが配布された。被害者が認証をパスすると、改ざんされたJavaScriptによりメンテナンス中を告げるメッセージが表示され、同時に自動でアーカイブファイルがダウンロードされたという。

  • メンテナンス中を告げる偽メッセージ - 引用:JPCERTコーディネーションセンター

    メンテナンス中を告げる偽メッセージ 引用:JPCERT/CC

メッセージには「最新号を圧縮して通信します」と、不自然な日本語が使われており、翻訳ソフトまたは生成AIを用いた可能性がある。故意でなければ、攻撃者は日本語を得意としない人物またはグループと推測される。

マルウェア「SQRoot」が配布

攻撃で最終的に配布されたマルウェアは「SQRoot」とされる。これはプラグイン拡張式のマルウェアで、今回の事例では次の機能が確認されている。

  • システム情報の窃取
  • ファイルのアップロード、ダウンロード
  • システム操作(スリープ、終了など)
  • ファイル一覧の窃取
  • ファイルおよびフォルダーの操作
  • プロセス(コマンド)の実行
  • キーロガー
  • スクリーンキャプチャー

脅威グループの特定には至らず

JPCERT/CCは、この攻撃を実施した脅威グループを不明と説明している。しかしながら、使用されたファイル(nvSmart.exe、nvsmartmax.dll、iusb3mon.exe、iusb3mon.dll)の名称が、過去に中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT10」により使用されていたと指摘している。

水飲み場攻撃は基本的に不特定多数を標的にするが、JPCERT/CCが紹介した事例のように特定個人を標的にすることもある。その場合は、ソーシャルネットワーキングサービス(SNS)などを通じて被害者と信頼関係を醸成し、侵害した信用のあるWebサイトなどへ誘導して攻撃を成功させる。

今回の事例ではメディアの信用が悪用された。近年はインターネット上のどこに悪意が潜んでいるかわからない。常に警戒を怠らず、不自然な日本語など不審な情報には特に注意することが望まれている。