ドメインフロンティング【domain fronting】

概要

ドメインフロンティングとは、CDNコンテンツデリバリネットワーク)を悪用して、TLSによる無害な接続先への通信を装って、実際には攻撃者のサイトへHTTP接続する手法。乗っ取りに成功したコンピュータから攻撃者のサーバへ通信するために用いられる。
ドメインフロンティングのイメージ画像

攻撃者は不正アクセスマルウェアで乗っ取ったクライアントから偽の接続先に向けたHTTPS接続を試みる。このとき、TLSSNIServer Name Indication)にはCDNでコンテンツを配信している大手サイトなどのドメイン名が記載されている。

CDNのエッジサーバはTLS暗号化を解除して指定されたコンテンツを取り寄せてクライアントに送信しようとするが、真の接続先であるHTTPHostヘッダには攻撃者のドメイン名が記載されている。エッジサーバは攻撃者のサイトへリクエストを転送して応答をクライアントに返信する。

クライアントが所属する組織がネットワーク境界の機器で外部との通信を監視していても、TLSSNI欄には無害なサイトが記載されており、HTTPヘッダTLS暗号化されて真の接続先を知ることができないため、不正な通信であると見抜くことができない。

ドメインフロンティングは感染に成功したマルウェアが攻撃者の用意したC&Cサーバから指令を受けるために利用したり、侵害に成功した攻撃者が不正に入手した機密情報などをHTTPリクエストに乗せて自らの元に取り寄せたりするのに用いられることが多いとされる。インターネット検閲が行われている国での検閲回避策や、攻撃者に接続先を知られないようにする防御策として用いられることもある。

(2024.7.5更新)