CDN脆弱性「Underminr」、8800万ドメインに影響の恐れ

--- 共有コンテンツデリバリーネットワーク（CDN）インフラに潜む新たな脆弱性「Underminr」が、サイバー攻撃者によって悪用されていることが明らかになった。この脆弱性は、悪意ある通信を信頼されたドメインの背後に隠し、DNSフィルタリングや保護DNS制御をすり抜けることが可能だという。影響を受ける可能性があるドメインは約8800万に上るとの報告もあり、企業や組織のセキュリティ対策に深刻な警鐘を鳴らしている。

「Underminr」とは何か 「Underminr」と名付けられたこの脆弱性の手法は、共有CDNのエッジインフラにおける構造的な弱点を突くものだ。

セキュリティ専門メディアのSecurityWeekが報じた内容によると、この攻撃手法は「あるドメインのSNI（Server Name Indication）およびHTTP Hostヘッダーを提示しながら、同じ共有エッジ上の別のテナントのIPアドレスにリクエストを強制する」という仕組みで動作する。 通常、CDNは複数の顧客（テナント）が同じインフラを共有する設計となっている。ドメインフロンティングと呼ばれる従来の攻撃手法では、TLS暗号化通信のSNIフィールドとHTTP Hostヘッダーの不一致を利用して、意図しないバックエンドサーバーへの通信を実現していた。多くの大手ホスティングプロバイダーはこの手法に対する対策を講じてきたが、Underminrはその対策をさらにすり抜ける形で動作するという。

具体的には、攻撃者は信頼されている正規のドメイン名を通信の「見かけ上」として装いながら、実際の通信先を悪意あるサーバーへと誘導する。防御側から見れば、通信は正規のドメインに対する合法的なリクエストに映るため、検知が極めて困難になる。

約8800万ドメインへの影響 ADAMnetworksの研究チームが発見したこの脆弱性の影響範囲は、きわめて広範囲に及ぶとされている。

報告によれば、約8800万のドメインがこの手法による攻撃の標的となる可能性があるという。 これは、世界中の多数のWebサイトやオンラインサービスが依存する共有CDNインフラの構造的な特性に起因する問題だ。大手ホスティングプロバイダーの多くが共有型のエッジインフラを採用しているため、単一の脆弱性が広範囲にわたる影響を持ち得る。 特筆すべきは、大規模ホスティングプロバイダーの一部がドメインフロンティングに対する対策をすでに実施しているにもかかわらず、Underminrがその対策を回避する形で動作している点だ。つまり、従来の防御策だけでは不十分であることを意味する。

なぜ深刻なのか Underminrの最大の脅威は、DNSフィルタリングや保護DNS制御を回避できるという点にある。 企業や組織が導入するDNSベースのセキュリティ対策は、メインの評判やカテゴリに基づいて通信をフィルタリングし、悪意あるドメインへの接続をブロックする役割を果たしている。

しかし、Underminrの手法を用いると、攻撃者は正規の信頼されたドメイン名を通信の外装として利用するため、DNSレベルでの検知を完全にすり抜けることが可能になる。 この脆弱性により実現される攻撃シナリオには、以下のようなものがある。 まず、ステルス性の高いコマンド＆コントロール（C2）通信が挙げられる。マルウェアが感染した端末から攻撃者の指示を受ける際、通常のセキュリティ監視では正規のCDN通信に見えるため、侵入後の活動を長期間にわたって隠蔽できる可能性がある。 さらに、データ窃取（データエクスフィルトレーション）においても、組織の機密情報を外部に送信する通信を正規トラフィックに偽装できるため、被害の発見が大幅に遅れる恐れがある。

AI生成マルウェアとの組み合わせへの懸念 最も憂慮すべき点は、この攻撃手法がAI技術と結びつく可能性だ。ADAMnetworksの最高経営責任者（CEO）

であるDavid Redekop氏は、攻撃者のAI活用が加速している現状に警鐘を鳴らしている。 Redekop氏は「UnderminrがAI生成マルウェアのパラメトリック情報として利用されるようになれば、保護DNSを回避する必要があるすべての攻撃でこの手法が使われるようになるだろう」と述べている。 近年、攻撃者はAIを活用してマルウェアの自動生成や攻撃手法の最適化を進めており、その傾向は今後さらに加速すると広く見られている。Underminrのような手法がAI生成マルウェアの標準的な機能として組み込まれれば、防御側にとっての脅威は飛躍的に増大する。

具体的には、AIが標的環境に応じて自動的にUnderminrの手法を選択・適用し、検知を回避する通信経路を動的に構築するようなシナリオが想定される。従来のシグネチャベースの検知では、こうした動的な攻撃手法への対応は困難だ。

組織が取るべき対策 この脆弱性の存在を踏まえ、組織は従来のDNSベースのセキュリティ対策だけに依存しない、多層防御のアプローチを検討する必要がある。

CDNプロバイダー側においては、共有エッジインフラにおけるリクエストルーティングの厳格化や、SNIとHTTP Hostヘッダーの一致検証の強化が求められる。しかし、これはCDNの柔軟性やパフォーマンスとのトレードオフを伴うため、単純な解決にはならない可能性がある。

利用者側の対策としては、DNSフィルタリングに加え、ネットワークレベルでのトラフィック分析や行動ベースの検知を導入し、正常なCDN通信との逸脱を検出する仕組みを構築することが重要になる。また、ゼロトラストアーキテクチャの導入により、ネットワーク内部の通信であっても信頼を最小限にとどめる設計思想も有効だろう。

今後の展望 Underminrの発見は、共有インフラにおけるセキュリティの構造的な課題を改めて浮き彫りにした。CDNはインターネットの高速化と可用性向上に不可欠なインフラだが、その共有性が新たな攻撃ベクトルを生み出す可能性があるという事実は、業界全体で受け止めるべき課題だ。

ADAMnetworksによる詳細な技術報告書の公開が今後さらに進むことで、この脆弱性の全容がより明確になると期待される。CDNプロバイダー各社がどのように対応を進めるのか、引き続き注視が必要だ。 --- FAQ: Q: Underminrとドメインフロンティングの違いは何か？ A: ドメインフロンティングは、TLS暗号化通信のSNIとHTTP Hostヘッダーの不一致を利用する攻撃手法であり、多くの大手プロバイダーが対策を講じてきた。Underminrは、これらの既存の対策をさらにすり抜ける形で動作し、同じ共有CDNエッジ上の別のテナントのIPアドレスにリクエストを強制する点が異なる。つまり、ドメインフロンティングの進化形とも言える手法だ。 Q: 一般ユーザーはこの脆弱性の影響を受けるのか？ A: 直接的な影響は、主に企業や組織のセキュリティ体制に及ぶ。ただし、攻撃者がこの手法を用いてステルス性の高いC2通信を確立した場合、ユーザーが利用するサービスの背後で不正活動が行われる可能性はある。DNSベースの保護機能を持つセキュリティ製品を利用しているユーザーは、この手法によってその保護が迂回されるリスクを認識しておくべきだ。 Q: CDNプロバイダーはどのように対応すべきか？ A: 共有エッジインフラにおけるリクエストルーティングの厳格化、SNIとHTTP Hostヘッダーの一致検証の強化、テナント間の通信隔離の徹底などが考えられる。ただし、CDNの本来の目的である高速化や柔軟性とのバランスを考慮した設計が必要になるため、技術的な検討が慎重に進められる必要がある。