インドの正体不明の機関(おそらく通信会社のエアテル)が、DDOS攻撃対策企業のCloudFlareが管理するサイトの暗号化の隙間をひそかに利用して、ユーザーを傍受しリダイレクトしている。
この攻撃についてはまだほとんどわかっていないが、これまでのところ、海賊版トレントサイト「パイレート・ベイ」と他のいくつかの組織を狙ったものが検出されている。
CloudFlare のエンジニアは、本稿執筆時点では、顧客サイトへのトラフィックが傍受されているという、現在では確認されている主張を調査するための緊急会議を終えたところです。
傍受されたウェブサイトの訪問者は、AirTel のページにリダイレクトされ、「インド政府電気通信省からの指示に従って、要求された URL はブロックされました」と表示されます。
リダイレクト ページは、傍受が AirTel によるものであることを必ずしも確認するものではありません。
インドは公式な方針なしに20年近くサイトをブロックしてきたが、セキュリティ対策の欠如をこれほど直接的に利用してURLへのアクセスを拒否したのは初めてだ。
CloudFlareのサイトには、反体制派が運営するサイト、ハッキングフォーラム、海賊版サイトなどが含まれており、こうしたサイトはしばしば政府の標的となっています。
インドを拠点とする開発者のAbhay Rana氏(@captn3m0)とセキュリティ研究者のShantanu Goel氏(@shantanugoel)は、Pirate Bayのトラフィック傍受を発見しました。これは、CloudFlareとインド政府の協力によるものか、分散型サービス拒否攻撃対策プロバイダー側のセキュリティ上の欠陥によるものではないかと彼らは考えています。
CloudFlareの創設者マシュー・プリンス氏はThe Registerに対し、同社は1時間も経たないうちに会議を終え、自社側にセキュリティ上の欠陥はないが、傍受は不意打ちだったと語った。
リダイレクトのランディング ページ。
プリンス氏は、攻撃はクラウドフレアのチェンナイとニューデリーのデータセンターで発生したが、ムンバイの拠点では発生していないと述べた。
「これは暗号化されていないリンクを通過するトラフィックにのみ影響を与えるようです」とプリンス氏は言う。
「リクエストを探しているシステムが何であれ、ムンバイにはインストールされていない可能性があります。わかりませんが、リクエストのホスト ヘッダーによってトリガーされるようです。
「これは、インドのネットワークのエッジか、AirTel 内部で、少なくともリクエスト内のホスト ヘッダーの感染を実行している何らかのシステムが稼働していることを示唆しています。」
プリンス氏は、同社が「すべてのトラフィック」を調査して、影響を受けた他の顧客サイトを特定していると述べたが、影響を受けた顧客の名前は明らかにしなかった。
同社は、多数の Web プロパティに対して、無料および有料の分散型サービス拒否攻撃緩和サービス、稼働時間および匿名性サービスを提供しています。
インド政府が CloudFlare の顧客をターゲットにするのには理由があるかもしれない。
このテクノロジー企業は2014年以来、ガリレオプロジェクトの一環として、定評のある政治ブログ、ニュースサイト、その他の公益団体に有料の企業向け分散型サービス拒否緩和サービスを無料で提供してきた。
CloudFlare が連絡を取った AirTel の代表者は傍受については知らなかったが、この件を調査中である。
ザ・レジスターはコメントを求めて同社に連絡を取った。
プリンス氏は、傍受はオリジンサーバー上で暗号化を使用していないサイトでのみ可能であるようだと述べている。
CloudFlare は 5 月に、管理者がタスクを実行できるように顧客に無料の証明書をインストールするよう求めました。
ライターの Karthik Balakrishnan 氏は、CloudFlare が主張する意図的な関与やセキュリティ上の欠陥を除けば、攻撃は概ね正確であると精査した上でさらに分析しています。
詳細が明らかになった時点で、この記事を更新します。®
