CDNを悪用したDomain Fronting(ドメイン・フロンティング)とは

今回は、標的型攻撃で実際に使われた、Domain Fronting(ドメイン・フロンティング)というテクニックについて解説します。

ネットワークの監視とバックドアの検出

攻撃者は通常、ターゲットのネットワークに侵入したあと、何らかの方法でバックドアを設置し、ネットワークへの継続的な足がかりを作ります。そこで、最近では高度なファイアウォールやUTM機器などを用いてネットワークを監視している組織も少なくありません。これらの組織では、組織内のネットワークからインターネットに出て行く不審な通信を監視することで、マルウエアのコネクトバック(コールバック)を検知しています。最近セキュリティ企業のFireEyeが報告した事例では、攻撃者は匿名通信システムTorを介してターゲットのシステムに仕込んだバックドアと通信していました。もしネットワークが監視されていれば、このような通信は不審なトラフィックとして検出される可能性があります。

CDNを悪用したトラフィックの隠蔽

しかし上記の事例では、攻撃者はTorの「リフレクションサーバー」をCDNのサーバーに設置したうえで、Torのトラフィックを正規のSSL通信の中に紛れ込ませる手法を使っていました。CDNは、ウエブサイトのコンテンツを世界各地に効率良く配信するためのサービスです。CDNでは、HTTPヘッダーの内容に基づいて他のサーバーにトラフィックを転送することがあります。攻撃者はこの性質を利用して、まず正規のCDNサーバー宛のSSL通信を確立し、その後同じCDN上でホストしているリフレクションサーバーにTorの通信を転送させていました。

CDNは、さまざまな他の正規のアプリケーションでも利用されており、さらに通信もSSLで暗号化されていれば、上記の手法で偽装された通信を検出してブロックするのは非常に困難です。他の正規のアプリケーションの通信と区別がつかないため、ネットワーク監視機器がシグネチャを元に不審な通信を検出しようとしても、検出を逃れてしまう恐れがあります。

事件はエンドポイントで起きている

最近では、SSLの通信の中身を監視できるネットワーク監視機器も利用されています。しかし、SSL通信を監視する機器を設置することで、逆にセキュリティの低下を招くという見解があるほか、通信速度の低下を招くというデメリットもあります。上記の問題を報告したセキュリティ企業FireEyeでは、エンドポイントの監視の重要性を主張しています。

このブログでも、ネットワークの境界防御エンドポイントのセキュリティについて述べたことがありますが、こうした事例からも両サイドからの防衛が不可欠であることがうかがえます。どちらがより重要かを述べることはできませんが、「事件=セキュリティ侵害」は「現場=エンドポイント」で起きているとすれば、エンドポイントを一元的に監視し、異常を検知するようなソリューションは、極めて有望なセキュリティ対策かもしれません。モバイルワーカー、リモートワーカーの増加、組織外のネットワークからクラウドサービスを介して仕事をする人も増えています。そうした意味でも、組織の従業員が利用するエンドポイントを守ることが、今後より重要な意味を帯びてくるはずです。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s