Azure におけるドメインフロンティング対策について

クラウドセキュリティ担当バイスプレジデント エリック ドア (Eric Doerr)

※本ブログは、米国時間 2021 年 3 月 26 日に公開された “Securing our approach to domain fronting within Azure” の抄訳を基に掲載しています。
Azure におけるドメインフロンティング対策について
当チームでは、日々何兆件ものシグナルを目にして分析し、攻撃の方向性を把握するとともに、そこから得た学びを製品やソリューションに反映させています。脅威の状況を理解することが、お客様の日々の安全を確保する鍵となるのです。

しかし、複雑な世界においては、セキュリティプロバイダーとして時により深く考え、新たな課題に対処する方法を熟考することが求められます。答えがすぐに明確にならない場合は特にそうなります。当社の Azure におけるドメインフロンティング対策は、刻々と変化する世界の動きがきっかけとなって、重要かつ複雑な課題を再検討することになり、最終的に変化をもたらすことになった良い例といえます。

まず背景から始めましょう。ドメインフロンティングとは、バックエンドドメインがフロントドメインのセキュリティ証明書を利用できるようにするネットワーク技術です。例えば、同一のコンテンツ配信ネットワーク (CDN) 内に 2 つのドメインがある場合、ドメイン 1 には (地域によってアクセス制限を設けるといったように) ドメイン 2 にはない制限がかけられることがあります。有効なドメイン 2 を SNI ヘッダーに配置し、ドメイン 1 を HTTP ヘッダーに使用すれば、その制限を回避することが可能です。外部から見ると、後続トラフィックはフロントドメインに向かっているように見えるため、そのトラフィック内の特定のユーザーリクエストがどこに向かおうとしているのか識別することはできません。フロントドメインとバックエンドドメインのオーナーが同じではない可能性もあるのです。

マイクロソフトはテクノロジを良いことに使ってもらおうと真摯に取り組んでいることから、ドメインフロンティングのようなテクニックの潜在的影響の重みを考えると、自由でオープンなコミュニケーションを支える特定のユースケースをサポートすることは検討に値する重要事項です。しかし、ドメインフロンティングは違法行為に関与している悪質な人物や脅威を与える人物にも悪用されており、悪質な人物が Azure サービスでこの機能を利用できるよう設定しているケースがあることもわかっています。

このような状況に陥った場合、マイクロソフトはセキュリティ企業として、お客様の複雑さが増してきた際にはよりシンプルな手法を提供することから始めるようにしています。当社のミッションは、お客様に安心感を与え、急速に変化する脅威環境に迅速に対応できるよう支援することです。そこでマイクロソフトでは、Azure 内のドメインフロンティングを確実に阻止し防御するため、ポリシーを変更します。

このような変更は簡単に実施されるものではなく、さまざまな分野に影響が及ぶことも理解しています。

  • マイクロソフトのエンジニアリングチームは、すでに Azure 上でのドメインフロンティング技術の実行を確実にブロックするプラットフォームを構築しているほか、引き続き当社の製品やサービスが、ドメインフロンティングをベースとした脅威に対し最高レベルで保護されるよう取り組んでいます。
  • マイクロソフトは、今後も Azure 上での侵入テストに関する明確なガイダンスを提供するとともに、世界中のセキュリティ研究者との強力な連携体制の下、今回の変更点を明確に理解してもらうようにしています。

今回の変更は、セキュリティが刻々と変化する世界に与えている影響の大きさを示す一例に過ぎません。マイクロソフトは今後もお客様とその先にいるユーザーのセキュリティを最優先に考えていきます。今回の Azure のポリシー変更にあたっては、同僚のニック カー (Nick Carr) とクリストファー グライアー (Christopher Glyer) がドメインフロンティングについて精力的に研究してくれました。ここで 2 人に感謝したいと思います。

マイクロソフトのセキュリティソリューションの詳細は、ウェブサイトにてご確認ください。セキュリティブログでは、セキュリティ関連の専門情報をカバーしています。サイバーセキュリティに関する最新ニュースや最新情報は、Twitter アカウント (@MSFTSecurity) でも発信しています。

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

Tags: , ,

関連記事