// 広告ブロックによる損失収益の回復 広告ブロックによる損失収益の回復 // 広告ブロックによる損失収益の回復 エラー保護のメッセージ 省略可

【情報処理安全確保支援士】ドメインフロンティングとは?

情報処理安全確保支援士 午後試験でも出題されたドメインフロンティング(Domain Fronting)の解説ページです。

ドメインフロンティングとは?

CDN(Content Delivery Network[コンテンツ デリバリー ネットワーク])を悪用した攻撃です。

TLSのSNI(Server Name Indication)ヘッダで指定したフロントドメインを、TLS通信を復号の際、フロントドメインに含まれているHTTP Hostヘッダから、正規ドメインを、別のドメインへリダイレクトします。

別ドメインへリダイレクトされても、TLSでは通信が暗号化しているのでネットワーク監視では発見しづらい特徴があります。

想定される被害

  • 情報の改ざん、流出

ドメインフロンティングが成功する例

令和4年度 春期 情報処理安全確保支援士試験で出題された例題を掲載します。

成功例

(1)あるCDN(以下,CDN-Uという)がX社内から頻繁にアクセスする他社のWebサイトの複数で利用されているとする。それらのWebサイトの一つをY社Webサイトとする(以下,Y社WebサイトのFQDNをY-FQDNといい,CDN-UからY社Webサイト用に割り当てられたFQDNをY-CDN-U-FQDNという)。また,CDN-Uは攻撃者サーバも利用しているとする(以下,攻撃者サーバのFQDNをZ-FQDNといい,CDN-Uから攻撃者サーバ用に割り当てられたFQDNをZ-CDN-U-FQDNという)。

(2)この状況でXPCの1台がマルウェアに感染すると,次のような攻撃が行われることがある。

(3)当該マルウェアはY社WebサイトとのHTTPS通信を行うため,Y-FQDNの名前解決を行うと,まずY-CDN-U-FQDNが返される。次にY-CDN-U-FQDNの名前解決を行い,Y-CDN-UFQDNを名前解決したIPアドレスのサーバとのHTTPS通信を行うため,TLS接続を確立する。

(4)当該マルウェアはHTTPリクエストを送信する際,ヘッダにZ-FQDNを指定する。CDN-Uは攻撃者サーバにHTTPリクエストを転送することになる。

(5)結果として当該マルウェアと攻撃者サーバとの間の通信がCDN経由でできてしまう。

タイトルとURLをコピーしました