基本情報技術者試験 ap-2017h29h-a 午前 問40: 水飲み場型攻撃（Watering Hole Attack）の手口はどれか。

問題本文

水飲み場型攻撃（Watering Hole Attack）の手口はどれか。

選択肢

• ア.アイコンを文書ファイルのものに偽装した上で，短いスクリプトを埋め込んだショートカットファイル（LNK ファイル）を電子メールに添付して標的組織の従業員に送信する。
• イ.事務連絡などのやり取りを何度か行うことによって，標的組織の従業員の気を緩めさせ，信用させた後，攻撃コードを含む実行ファイルを電子メールに添付して送信する。
• ウ.標的組織の従業員が頻繁にアクセスする Web サイトに攻撃コードを埋め込み，標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
• エ.ミニブログのメッセージにおいて，ドメイン名を短縮してリンク先の URL を分かりにくくすることによって，攻撃コードを埋め込んだ Web サイトに標的組織の従業員を誘導する。

正解

ウ. 標的組織の従業員が頻繁にアクセスする Web サイトに攻撃コードを埋め込み，標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。

解説

水飲み場型攻撃の手口を問う問題。名前は、肉食動物が獲物の集まる水飲み場で待ち伏せる様子に由来する。攻撃者は、標的組織の従業員が頻繁に訪れる正規のWebサイトをあらかじめ改ざんして攻撃コードを仕込み、標的の従業員がアクセスしたときにだけマルウェアに感染させるよう仕掛ける。よって正解はウ。標的が自ら来るのを待ち伏せる点が特徴である。

選択肢ごとの解説

• ア.文書ファイルに偽装したショートカット（LNK）ファイルをメール添付で送るのは、標的型攻撃メール（ばらまき型・なりすまし添付）の手口で、待ち伏せ型の水飲み場型攻撃ではない。誤り。
• イ.やり取りを重ねて信用させてから攻撃ファイルを送るのはやり取り型（ソーシャルエンジニアリングを伴う標的型メール攻撃）の手口であり、水飲み場型攻撃ではない。誤り。
• ウ.正しい。標的がよく利用する正規サイトを改ざんして待ち伏せ、その従業員のアクセス時だけ攻撃するのが水飲み場型攻撃である。
• エ.短縮URLでリンク先を隠して悪性サイトへ誘導するのは短縮URLを悪用した誘導の手口であり、待ち伏せ型の水飲み場型攻撃ではない。誤り。