分野 ：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ

ドメインフロンティングは、実際の通信先となるサーバを隠すために、表向きのアクセス先と内部で接続する先を意図的に食い違わせる手法です。本来は検閲や地域制限を回避する目的で使われていましたが、通信先を秘匿できる性質があるため、マルウェアがC&Cサーバとの間で行う通信に悪用された事例があります。

典型的な攻撃例では、表向きには無害なCDNにアクセスしているように見せかけながら、HTTPリクエストのHostヘッダー（HTTP/2では :authority）に攻撃者が指定したオリジンドメインを入れることで、CDNにそのオリジンのリソースを取得させます。一部のCDNはSNIのドメインとの整合性を調査せずに、Hostヘッダーの値をそのまま利用してオリジンサーバへリクエストするため、攻撃者が用意したリソースがクライアントに返されます。内部のHTTP通信はTLSで暗号化されるため、外部からは正規のCDN通信にしか見えず、FWやURLフィルタリングによる検知・遮断が困難です現在では主要サービスが対策を行い、こうした意図的なドメインフロンティングは制限されていますが、セキュリティ上の重要な概念として理解しておく必要があります。

• 正しい。ドメインフロンティングを悪用した攻撃です。
• DNSキャッシュポイズニングの例です。
• DNSアンプ攻撃の例です。
• ドメインハイジャックの例です。