ドメインフロンティング 【domain fronting】

概要

ドメインフロンティング(domain fronting)とは、CDN(コンテンツデリバリネットワーク)を悪用して、TLSによる無害な接続先への通信を装って、実際には攻撃者のサイトHTTP接続する手法。乗っ取りに成功したコンピュータから攻撃者のサーバ通信するために用いられる。

攻撃者は不正アクセスマルウェアで乗っ取ったクライアントから偽の接続先に向けたHTTPS接続を試みる。このとき、TLSSNIServer Name Indication)にはCDNコンテンツを配信している大手サイトなどのドメイン名が記載されている。

CDNのエッジサーバはTLS暗号化を解除して指定されたコンテンツを取り寄せてクライアントに送信しようとするが、真の接続先であるHTTPHostヘッダには攻撃者のドメイン名が記載されている。エッジサーバは攻撃者のサイトリクエストを転送して応答をクライアントに返信する。

クライアントが所属する組織がネットワーク境界の機器で外部との通信を監視していても、TLSSNI欄には無害なサイトが記載されており、HTTPヘッダTLS暗号化されて真の接続先を知ることができないため、不正な通信であると見抜くことができない。

ドメインフロンティングは感染に成功したマルウェアが攻撃者の用意したC&Cサーバから指令を受けるために利用したり、侵害に成功した攻撃者が不正に入手した機密情報などをHTTPリクエストに乗せて自らの元に取り寄せたりするのに用いられることが多いとされる。インターネット検閲が行われている国での検閲回避策や、攻撃者に接続先を知られないようにする防御策として用いられることもある。

(2024.7.5更新)
この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。