情報処理安全確保支援士 午後試験でも出題されたドメインフロンティング(Domain Fronting)の解説ページです。
ドメインフロンティングとは?
CDN(Content Delivery Network[コンテンツ デリバリー ネットワーク])を悪用した攻撃です。
TLSのSNI(Server Name Indication)ヘッダで指定したフロントドメインを、TLS通信を復号の際、フロントドメインに含まれているHTTP Hostヘッダから、正規ドメインを、別のドメインへリダイレクトします。
別ドメインへリダイレクトされても、TLSでは通信が暗号化しているのでネットワーク監視では発見しづらい特徴があります。
想定される被害
- 情報の改ざん、流出
ドメインフロンティングが成功する例
令和4年度 春期 情報処理安全確保支援士試験で出題された例題を掲載します。
(1)あるCDN(以下,CDN-Uという)がX社内から頻繁にアクセスする他社のWebサイトの複数で利用されているとする。それらのWebサイトの一つをY社Webサイトとする(以下,Y社WebサイトのFQDNをY-FQDNといい,CDN-UからY社Webサイト用に割り当てられたFQDNをY-CDN-U-FQDNという)。また,CDN-Uは攻撃者サーバも利用しているとする(以下,攻撃者サーバのFQDNをZ-FQDNといい,CDN-Uから攻撃者サーバ用に割り当てられたFQDNをZ-CDN-U-FQDNという)。
(2)この状況でXPCの1台がマルウェアに感染すると,次のような攻撃が行われることがある。
(3)当該マルウェアはY社WebサイトとのHTTPS通信を行うため,Y-FQDNの名前解決を行うと,まずY-CDN-U-FQDNが返される。次にY-CDN-U-FQDNの名前解決を行い,Y-CDN-UFQDNを名前解決したIPアドレスのサーバとのHTTPS通信を行うため,TLS接続を確立する。
(4)当該マルウェアはHTTPリクエストを送信する際,ヘッダにZ-FQDNを指定する。CDN-Uは攻撃者サーバにHTTPリクエストを転送することになる。
(5)結果として当該マルウェアと攻撃者サーバとの間の通信がCDN経由でできてしまう。