攻撃者たちは、ドメインフロンティングと呼ばれる手法を用いて、Google Meet、YouTube、ChromeアップデートサーバーなどのGoogleの主要サービスを悪用する方法を発見しました。彼らは悪意のあるトラフィックを信頼性の高いドメインへの正当な接続に見せかけることで、Googleのバックボーンインフラストラクチャを通じてデータをトンネルし、疑念を抱かせずに活動しています。この研究は、ウェブ会議アプリを介したトンネリングに関する以前のデモンストレーションに基づいており、同じ概念がインターネットの基盤にも適用されることを示しています。

### ドメインフロンティングの仕組み
ドメインフロンティングは、TLSハンドシェイク（Server Name Indication、SNI経由）で通知されるホスト名と、暗号化されたHTTP Hostヘッダー内のホスト名との間の不一致を利用します。クライアントが接続する際、SNIフィールドはmeet.google.comのような無害なドメインを公に示し、ネットワーク監視者はそれを安全なものとして扱います。しかし、暗号化されたセッション内では、HostヘッダーはGoogle Cloud Platformでホストされている攻撃者制御のドメインを指定します。これにより、他の多数のGoogleドメインがコマンド＆コントロールに悪用され、それぞれが高いトラフィックを持つ興味深いプロファイルを持っています。

監視者はHostヘッダーを見ることができないため、その不一致を検出できません。結果として、トラフィックは通常のGoogleの使用に見えますが、実際には攻撃者の制御下にあるインプラントまたはコマンド＆コントロールサーバーにルーティングされます。ドメインフロンティングは、2015年から2024年の間にGoogle、Amazon、Microsoftを含む主要プロバイダーによって大部分がブロックされていました。しかし、これらのブロックにもかかわらず、研究者たちはGoogleのインフラストラクチャにフロンティング機能を回復させるエッジケースを発見しました。Google Cloud Run関数やupdate.googleapis.com、payments.google.comのようなドメインにリクエストを送信することで、攻撃者は正当なフロントを維持しながら、悪意のあるエンドポイントへのバックエンドルーティングをトリガーします。

payments.google.comドメインが金融サービスサイトとして分類されている画像が示されています。実験では、接続が表向きはgoogle.comをターゲットにしているにもかかわらず、Hostヘッダーが関数のURLを指している場合、単純なCloud Runの「Hello World」関数が呼び出されることが示されました。Meet、YouTube、その他の高トラフィックなGoogleドメインでも同様の動作が観察されました。

レッドチームにとって、この手法は強力な新しい隠れたチャネルを提供します。これは、組織が日常業務を中断せずにブロックできないサービスを利用し、通常のトラフィックとシームレスに混ざり合います。攻撃者は、Googleのアップデートサーバーやビデオサービスを介してHTTPSで通信するインプラントを配置でき、ネットワーク検出を非常に困難にします。

従来のネットワーク制御は、多くの場合、コアサービスをディープパケットインスペクションから除外します。ドメインフロンティングに対抗するためには、セキュリティチームはTLSセッションを大規模に検査し、DNSと証明書データを相関させ、update.googleapis.comへの非標準ペイロードを伴う永続的な接続など、異常なトラフィックパターンを特定するために行動分析を採用する必要があります。この発見は、攻撃者と防御者の間の終わりのないいたちごっこを浮き彫りにしています。インフラストラクチャのフロンティアが拡大するにつれて、攻撃者が目立たないように隠れる機会も増えます。セキュリティアーキテクトは、デフォルトの許可リストを再評価し、非常に信頼されているドメインでさえ適切な精査を受けるようにする必要があります。新たなフロンティングベクトルに適応した検出戦略を採用することで、組織は攻撃者が容易に悪用する信頼のギャップを埋めることができます。

元記事へのリンク: https://gbhackers.com/attackers-use-domain-fronting-to-tunnel-malicious-traffic-via-google-meet-youtube-and-chrome-update-servers/