はじめに
本書の目的
本書は、CDN Poisoning攻撃について広く理解していただくことを目的とします。攻撃の基本的な考え方、具体的な仕組み、現実に起こり得る影響、実例、そして現場で使える防止策までをわかりやすくまとめます。
CDN Poisoningとは
CDN(コンテンツ配信ネットワーク)のキャッシュに攻撃者が改ざんコンテンツを注入し、利用者に偽の情報やマルウェアを配信させる手法です。例えると、書店の表に置かれた本の中身を書き換えて読者に渡すようなものです。
この章で学べること
本章では本書の全体像と読み方を示します。各章で何を扱うかを簡潔に説明し、読み進める際のポイントを提示します。
読者対象と前提知識
ウェブ運用者、セキュリティ担当者、関心のある一般の方を想定します。高度な前提知識は不要です。用語は必要に応じて丁寧に説明します。
CDN Poisoning攻撃の基礎知識
概要
CDN(コンテンツ配信ネットワーク)は、画像やページ、スクリプトを利用者に近い場所から配信して高速化します。CDNの「キャッシュ」に正しいコンテンツが保存されることで効果が出ます。CDN Poisoningは、そのキャッシュに攻撃者が悪意あるデータや無関係なデータを入れてしまう攻撃です。汚染されたキャッシュが配信されると、利用者に改ざんページやマルウェアが届きます。
仕組み(わかりやすく)
攻撃者は、キャッシュのキーや保存ルールの隙を突きます。例としては、URLのパラメータやホスト名を偽装して別のレスポンスを保存させる方法、古いコンテンツを意図的に延長させる方法などがあります。結果として正規の利用者が悪いコンテンツを受け取ります。
何が狙われるか
- ウェブページ本体(HTML)
- JavaScript(実行されると危険)
- 画像やダウンロードファイル(誘導や偽装)
動機と被害の種類
攻撃者はフィッシング、マルウェア配布、追跡、サイト改ざんを狙います。企業は信頼失墜、利用者は情報漏えいや端末感染の被害を受けます。
見分け方の手がかり
- 同じサイトで不安定に表示が変わる
- 予期しないスクリプトや外部リンクが混入する
次章では技術的な具体例と手口を詳しく説明します。
攻撃の仕組みと技術的詳細
攻撃の段階
CDN Poisoningは複数段階で進みます。まず攻撃者は標的サイトの配信パターンを観察し、どの要素(URL、クエリ、ヘッダー、クッキーなど)でCDNがキャッシュを識別するかを調べます。次に、その識別ルールを悪用して、正規のコンテンツに見せかけた悪意ある応答をCDNのエッジに注入します。最後にユーザーがそのキャッシュにアクセスすると、攻撃者のコンテンツが配信されます。
キャッシュの仕組みを狙う手法
CDNは「キャッシュキー」と呼ばれる組み合わせ(主にパス+クエリ+指定ヘッダー)でコンテンツを識別します。攻撃者はこのキーを操作します。具体例を挙げます。
– HostやX-Forwarded-Hostを偽装して別ドメインのコンテンツをキャッシュさせる
– クエリ文字列やパスに長いランダム文字列を付け、未使用のキーで大量にリクエストを送る
– RangeヘッダーやVaryヘッダーを悪用して、部分レスポンスや異なるバリエーションをキャッシュさせる
これらでエッジに悪意あるオブジェクトを作らせると、以後の正規リクエストでもそのキャッシュが返却されます。
キャッシュ汚染を成功させるための戦術
攻撃者は大量のリクエストを短時間に行い、キャッシュを汚染または置換します。一般的な手口は「フラッディング」と呼ばれ、未使用または関連性の低いキーでエッジを満たすことで、正規コンテンツが追い出されます。これによりサービス品質が低下し、ユーザーは改ざんされたまたは不正なコンテンツを受け取ります。
DNSスプーフィングとの組み合わせ
攻撃はDNSの弱点と結び付くことがあります。攻撃者がDNSリゾルバーのキャッシュに偽の応答を注入すると、ユーザーやCDNが攻撃者管理下のサーバーへ向かいます。そこから配信された悪意あるレスポンスがCDNにキャッシュされれば、さらに広範囲に汚染が広がります。
成功の難易度と条件
成功にはCDN設定の不備や緩いキャッシュポリシーが必要です。正しく設定されたCDNでは困難ですが、設定ミスや古いソフトウェア、権限の緩さがあると成立しやすくなります。
CDN Poisoning攻撃の影響と被害
ユーザーへの直接的被害
CDNのキャッシュが改ざんされると、利用者は改変されたページやスクリプトを受け取ります。見るだけのつもりでも、裏でマルウェアが実行されたり、偽のログイン画面に誘導されて認証情報を奪われたりします。身近な例では、正規サイトに見える画面でパスワードを入力してしまうと被害に遭います。
サービス品質の低下
攻撃者が無関係なコンテンツでキャッシュを埋めると、本来のコンテンツがキャッシュから消え、キャッシュミスが増えます。その結果、配信が遅くなり応答性が落ち、ユーザー体験が悪化します。ウェブサイトやアプリの利用中に頻繁にエラーが出るようになることがあります。
インフラ全体への波及
CDNは多くのサービスの配信を担います。そのため一つのPoisoningは多数のサイトやサービスに影響します。マルウェア配布、認証情報の窃取、機密データの流出などが正当なトラフィックに紛れて行われる危険があります。被害は企業の信頼失墜や顧客離れにつながります。
具体的なリスク例
- フィッシング:見た目は本物の画面でログイン情報を盗む
- マルウェア配信:自動で不正プログラムをダウンロード・実行させる
- データ改ざん:表示される情報やダウンロードファイルが書き換えられる
被害は個人にも企業にも及び、早期の検知と対策が重要です。
実例と歴史的背景
背景
ウェブキャッシュやプロキシの「内容を書き換える」手法自体は古くから知られていました。CDNは高速化と可用性のために世界中でキャッシュを用いますが、その仕組みを狙うと広範囲に影響を与えられます。
2018年の研究と発見
2018年、複数の研究者が主要なCDNに対するキャッシュポイズニングの脆弱性を実証しました。彼らは特定のリクエストやヘッダーの扱いに穴があることを示し、改ざんされたウェブページをCDN経由で配信できることを確認しました。この実験は「理論上の懸念」ではなく、実際に起き得る脅威であると証明しました。
具体的な実例(想定シナリオ)
- 攻撃者は偽のレスポンスを準備し、CDNのキャッシュサーバーに保存させます。
- その後、一般ユーザーがそのURLにアクセスすると、改ざんされたページが配信されます。
- 例として、見た目は正規サイトでも不正なスクリプトや誘導リンクが埋め込まれ、個人情報の詐取や不正ダウンロードに繋がります。
歴史的影響と対応
この研究を受けて、CDN事業者やサイト運営者はキャッシュ制御やヘッダーの処理を見直しました。多くは設定の改善やパッチ適用で脆弱性を緩和しましたが、設定ミスや古いソフトを使うと再発のリスクがあります。運用側の注意が重要です。
防止策とセキュリティ対策
概要
CDN poisoningを防ぐには複数の対策を組み合わせることが大切です。単一の対策だけでは不十分なため、層を重ねて守る方針をおすすめします。
キャッシュキーの正規化
キャッシュキーに含める要素を明確に決め、不要なクエリ文字列や追跡パラメータを無視します。例えば「utm_」で始まるパラメータを排除し、スキーム・ホスト・パス・重要なクエリのみでキーを作ります。これにより攻撃者が類似URLで不正なコンテンツを混入するのを防げます。
HTTPSとセキュアなヘッダー
通信を常にHTTPSにし、HSTSを有効にします。さらにContent-Security-PolicyやStrict-Transport-Securityなどのヘッダーを設定して、ブラウザ側での改ざんを抑止します。オリジンサーバーとCDN間も暗号化するとより安全です。
キャッシュの運用管理
定期的なキャッシュパージをスケジュールし、不要な長期キャッシュを避けます。重要なファイルはバージョニングしてURLを変える運用にすると、古いキャッシュ残留によるリスクを減らせます。またキャッシュ内容のハッシュ検証や署名付きURLで完全性を確かめます。
監視とインシデント対応
CDNのログと応答内容を監視し、不審なコンテンツ配信や急増するキャッシュミスを検出します。自動アラートやロールバック手順を用意し、問題発生時に迅速にキャッシュをクリアして差し替えます。
多層防御の実践
上記を組み合わせることで多層防御が実現します。設定ミスを減らすためにチェックリストや自動テストを導入し、定期的に設定をレビューしてください。これによりCDNインフラを安定して守れます。
CDN Poisoning攻撃の危険性の総括
概要
CDNはウェブ配信を速く、安全にする重要な仕組みです。ただ、CDNに悪意ある情報が混入すると、多くの利用者やサービスに短時間で影響が広がります。
主な危険性
- データ改ざん: 正しいファイルの代わりに偽のスクリプトやページが配信され、利用者情報やクレジットカード情報が盗まれる恐れがあります。
- マルウェア配布: 改ざんされたコンテンツがそのまま配布され、端末が感染します。
- 信頼失墜と業務影響: サイトの信用低下や売上減、長時間の復旧作業が発生します。
- サプライチェーン被害: CDNを介する多くのサービスが連鎖的に影響を受けます。
誰が危険か
- 大量トラフィックを扱うサイト
- 外部リソースを多用するサービス
- CDN依存度の高い小規模事業者
短期的対応の指針
- CDN設定の即時確認と署名検証の有効化
- 影響範囲の特定とキャッシュ無効化
- 利用者への速やかな通知と再発防止策の提示
結び
CDNは利便性を高めますが、依存が深いほど被害は大きくなります。定期的な監査と速やかな対応体制でリスクを下げることが重要です。
