攻撃者たちは、ドメインフロンティングと呼ばれる手法を用いて、Google Meet、YouTube、ChromeアップデートサーバーなどのGoogleの主要サービスを悪用する方法を発見しました。彼らは、悪意のあるトラフィックを信頼性の高いドメインへの正当な接続に見せかけることで、Googleのバックボーンインフラストラクチャを通じてデータをトンネルし、疑念を抱かせることなく活動しています。この研究は、ウェブ会議アプリを介したトンネリングに関する以前のデモンストレーションに基づいており、同じ概念がインターネットの基盤にも適用されることを示しています。

### ドメインフロンティングの仕組み

ドメインフロンティングは、TLSハンドシェイク（Server Name Indication、SNI経由）で通知されるホスト名と、暗号化されたHTTP Hostヘッダー内のホスト名との間の不一致を利用します。クライアントが接続する際、SNIフィールドは`meet.google.com`のような良性のドメインを公に示し、ネットワーク監視システムはそれを安全なものとして扱います。しかし、暗号化されたセッション内では、HostヘッダーはGoogle Cloud Platformでホストされている攻撃者制御のドメインを指定します。監視者はHostヘッダーを見ることができないため、この乖離を検出できません。その結果、トラフィックは通常のGoogleの使用に見えますが、実際には攻撃者の制御下にあるインプラントまたはコマンド＆コントロールサーバーにルーティングされます。

### 再び浮上するドメインフロンティング

ドメインフロンティングは、2015年から2024年の間にGoogle、Amazon、Microsoftを含む主要プロバイダーによって大部分がブロックされていました。しかし、これらのブロックにもかかわらず、研究者たちはGoogleのインフラストラクチャに、フロンティング機能を復活させるエッジケースを発見しました。Google Cloud Run関数や`update.googleapis.com`、`payments.google.com`などのドメインにリクエストを送信することで、攻撃者は正当なフロントを維持しながら、悪意のあるエンドポイントへのバックエンドルーティングをトリガーします。実験では、Hostヘッダーが関数のURLを指している場合でも、接続が表向きは`google.com`をターゲットにしているにもかかわらず、シンプルなCloud Runの「Hello World」関数が呼び出されることが示されました。Meet、YouTube、その他のトラフィック量の多いGoogleドメインでも同様の挙動が観察されました。

### セキュリティ対策

レッドチームにとって、この手法は強力な新しい隠蔽チャネルを提供します。組織が日常業務を中断することなくブロックできないサービスを利用し、通常のトラフィックとシームレスに混ざり合います。攻撃者は、Googleのアップデートサーバーやビデオサービスを介してHTTPSで通信するインプラントを配置でき、ネットワーク検出を非常に困難にします。従来のネットワーク制御は、主要サービスをディープパケットインスペクションから除外することがよくあります。

ドメインフロンティングに対抗するためには、セキュリティチームはTLSセッションを大規模に検査し、DNSと証明書データを関連付け、`update.googleapis.com`への永続的な接続や非標準のペイロードなど、異常なトラフィックパターンを特定するために行動分析を採用する必要があります。この発見は、攻撃者と防御者の間の終わりのないいたちごっこを浮き彫りにしています。インフラストラクチャのフロンティアが拡大するにつれて、攻撃者が目立たないように隠れる機会も増えます。セキュリティアーキテクトは、デフォルトの許可リストを再評価し、信頼性の高いドメインであっても適切な精査を受けるようにする必要があります。新たなフロンティングベクトルに適応した検出戦略を採用することで、組織は攻撃者が容易に悪用する信頼のギャップを埋めることができます。

元記事：[Attackers Use Domain Fronting to Tunnel Malicious Traffic via Google Meet, YouTube and Chrome Update Servers](https://gbhackers.com/attackers-use-domain-fronting-to-tunnel-malicious-traffic-via-google-meet-youtube-and-chrome-update-servers/)