🔥 この記事の詳細
2026-05-25 更新
C
月内に

CDNの共有インフラを悪用し、悪意のある通信を信頼されたドメインのトラフィックに偽装させる「Underminr」という手法

脆弱性🌐 英語ソース
📅 2026-05-25📰 ithome_tw
📌 一言でいうと
CDNの共有インフラを悪用し、悪意のある通信を信頼されたドメインのトラフィックに偽装させる「Underminr」という手法が公開されました。攻撃者はDNSクエリで信頼されたドメインAを指定しつつ、実際のTLS SNIとHTTP Hostヘッダーで悪意のあるドメインBを指定することで、セキュリティ検知を回避します。ADAMnetworksの分析によると、世界で約8,800万個のドメインがこのリスクにさらされている可能性があります。
🔍該当判定
  • 自社でWebサイトを公開しており、CloudflareやAkamaiなどのCDN(コンテンツ配信ネットワーク)を利用している
  • 社内ネットワークのセキュリティ対策として、DNS(ドメイン名)のフィルタリングのみで通信制限を行っている
  • 自社サイトのドメインが、攻撃者に悪用されるリスクがあるか確認したい(Underminrの確認サイト等を利用する)
上記いずれにも該当しない → 静観でOK
該当時の対応
1. CDNのテナント隔離メカニズムを有効にする。 2. 重要なサービスを専用IPおよび専用エッジ容量に配置する。 3. DNS、SNI、およびHTTPS Hostヘッダーを同時に検証し、不一致や既知の悪用ドメインを遮断する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】CDN悪用による通信偽装手法「Underminr」への対応について

お疲れさまです。CDNの共有インフラを悪用した新しい通信偽装手法「Underminr」に関する情報共有です。

■ 概要
DNSクエリでは信頼されたドメインを提示し、実際のTLS SNIおよびHTTP Hostヘッダーで攻撃者のドメインを指定することで、セキュリティ製品の検知を回避しC2通信やデータ漏洩を行う手法です。従来のDomain Fronting対策(SNIとHostの一致確認)を回避できる点が特徴です。

■ 影響範囲
- 共有CDNインフラを利用しているウェブサイトおよびネットワーク
- 推定8,800万ドメインが影響を受ける可能性あり

■ 対応手順
1. 利用しているCDNプロバイダーのテナント隔離設定を確認し、有効化する。
2. 機密性の高いサービスについては、共有IPではなく専用IP(Dedicated IP)への移行を検討する。
3. WAFやプロキシにおいて、DNSクエリ、SNI、HTTP Hostヘッダーの整合性をチェックする運用を検討する。

■ 参考情報
- ADAMnetworks Underminr Analysis

対応優先度: 中
対応期限: 次回セキュリティレビュー時まで
Subject: [Security Advisory] Mitigation for 'Underminr' CDN Traffic Masking Technique

Dear IT/Security Team,

We are sharing information regarding 'Underminr,' a technique that abuses shared CDN infrastructure to disguise malicious traffic.

■ Overview
Underminr allows attackers to bypass security detections by querying a trusted domain via DNS while specifying a malicious domain in the TLS SNI and HTTP Host headers. Unlike traditional Domain Fronting, it bypasses checks that only ensure SNI and Host headers match.

■ Scope
- Websites and networks utilizing shared CDN infrastructure.
- Estimated 88 million domains are potentially at risk.

■ Recommended Actions
1. Enable CDN tenant isolation mechanisms provided by your vendor.
2. Deploy critical services on dedicated IP addresses and dedicated edge capacity.
3. Implement inspection that correlates DNS queries with SNI and HTTPS Host headers to block known abused domains.

■ Reference
- ADAMnetworks Underminr Analysis

Priority: Medium
Deadline: Next security review cycle
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-25 のまとめ🔍 記事を検索