RSAC 2019:攻撃者がドメインフロンティングを必要とする理由

2019年4月22日

ドメインフロンティングは、第三者のドメインをかたって身を隠すテクニックです。Telegramがこれを利用して(英語記事)ロシアの通信・情報技術・マスコミ監督庁(Roskomnadzor)によるブロックを回避したことで、一躍有名になりました。

ドメインフロンティングの話題は、RSA Conference 2019で、SANS Instituteのエド・スコーディス(Ed Skoudis)氏によって取り上げられました。攻撃者にとってドメインフロンティングとは、感染したコンピューターをコントロールしてデータを密かに持ち出すための攻撃経路ではありません。スコーディス氏は講演の中で、「クラウドの中に姿を消す」という、サイバー犯罪者の典型的なアクションプランについてレポートしました。

複雑なAPT攻撃が検知されるのは、指令サーバーと情報をやりとりしているときである場合がほとんどです。企業ネットワーク内のコンピューターと、未知の外部のマシンとの間で突然始まったデータのやりとりが、情報セキュリティ部門の対応を引き出すきっかけとなります。サイバー犯罪者が通信をどうしても隠しておきたい理由は、まさにここにあります。そして、隠蔽目的での、さまざまなコンテンツデリバリーネットワーク(CDN)の利用が、次第に普及しています。

スコーディス氏が紹介した手順は次のとおりです。

  1. 企業ネットワーク内に、マルウェアに感染したコンピューターがある。
  2. このコンピューターは、信頼できるCDNにある、マルウェア感染していなくて信頼できるWebサイトにDNSクエリを送信する。
  3. 同じCDNのクライアントでもある攻撃者が、自分のWebサイトをCDNにホスティングする。
  4. 感染したコンピューターは、信頼できるWebサイトとの間に、暗号化されたTLS接続を確立する。
  5. この接続の内部で、マルウェアは、同じCDN上にある攻撃者のWebサーバー宛てのHTTP 1.1クエリを作成する。
  6. このWebサイトが、クエリを攻撃者のWebサーバーに転送する。
  7. 通信チャネルが確立される。

この企業ネットワークを管理する情報セキュリティ担当者の目には、暗号化されたチャネルを経由した、既知のCDNにある安全なWebサイトとの通信に見えます。なぜならば、自社がこのCDNのクライアントなので、このCDNを信頼できるネットワークの一部であると見なすからです。これは大きな間違いです。

スコーディス氏は、これらは非常に危険な動向を示す兆候だと述べています。ドメインフロンティングは、よろしからぬものですが対処は可能です。問題なのは、犯罪者がすでにクラウド技術の領域に足を踏み入れている点です。理論上、犯罪者はCDNの連鎖を作成して自分たちの活動をクラウドサービスの背後に隠しおおせ、「接続ロンダリング」の手はずを整えることが可能です。あるCDNがセキュリティ上の目的で別のCDNをブロックする確率は、ほぼゼロです。そんなことをしたら、ビジネスが損害を受けるのはほぼ確実です。

このような手口に対処するため、スコーディス氏はTLSインターセプトの使用を推奨しています。しかし、一番重要なのは、このようなことが起こり得ると認識し、このクラウドの攻撃経路の存在を踏まえて脅威をモデル化することです。

Kaspersky Labのエキスパートも、このような悪意ある手口に遭遇しています。当社のThreat Management and Defenseはこのような通信チャネルを検知し、悪意ある活動の可能性を明らかにします。