Chrome、セキュリティ機能を強化し、ウェブサイトがローカルルータなどのプライベートネットワークへアクセスすることを制限

google chrome news
google chrome

Chromeブラウザは、今後セキュリティ上の理由とマルウェア操作による過去の悪用を理由に、インターネットウェブサイトがローカルプライベートネットワーク内にあるデバイスやサーバーへの問い合わせややり取りを行う行為をブロックすると発表されました

Private Network Access: introducing preflights  |  Blog  |  Chrome for Developers
Chrome is deprecating access to private network endpoints from non-secure public websites as part of the Private Network Access specification. Read on for recom...
developer.chrome.com

Chromeは、サブリソースに対するプライベートネットワークのリクエストの前に、CORSプリフライトリクエストの送信を開始し、ターゲットサーバーからの明示的な許可を求めます。

このプリフライト リクエストには新しいヘッダー Access-Control-Request-Private-Network: true が追加され、これに対する応答には対応するヘッダー Access-Control-Allow-Private-Network: true が追加される必要があります。

サーバーやルーターなどのローカルデバイスが応答しない場合、インターネットのウェブサイトは接続をブロックされます。

この変更は、Private Network Access (PNA) と呼ばれる新しいW3C仕様の実装を通じて行われ、今年の前半に展開される予定です。

Private Network Access(旧名:CORS-RFC1918)とは、Web サイトがプライベート ネットワーク上のサーバーにリクエストを送信する機能を制限します。

Chromeブラウザー内にインターネットサイトが接続を確立する前にローカルネットワーク内のシステムに許可を求めることができる仕組みを追加するものです

ブラウザがプロキシとして利用され、ローカルネットワークへの攻撃が行われている

今回のPNA仕様は、近年Chromeに追加されるセキュリティ機能の中で最も重要なものの一つです。

2010年代初頭から、サイバー犯罪グループはブラウザを企業内ネットワークへの接続を中継する「プロキシ」として利用できることに気づいていました。

例えば、悪意のあるWebサイトには、192.168.0.1といったIPアドレスにアクセスしようとするコードが含まれていることがあります。

このアドレスは、ローカルネットワーク上のルータ機器の典型的な管理IPアドレスで、ローカルネットワークからしかアクセスできないアドレスになっています。

このような悪意のあるサイトにユーザーがアクセスすると、ユーザーが知らないうちにブラウザがルーターに自動リクエストを行い、ルーターの認証を回避してルーターの設定を変更する悪意のあるコードが送信されることがあるのです。

この種の攻撃は机上の空論ではなく、以前から行われており、その例が詳しく説明されています。

Home Routers Under Attack via DNSChanger Malware US | Proofpoint US
The DNSChanger malware exploit kit is the destination of recent malvertising campaigns. Read the analysis to learn how these router malware attack campaigns wor...
www.proofpoint.com

プルーフポイントは、エクスプロイト・キット(EK)の活動が減少していることをたびたび報告しています。しかし、EKは依然として不正広告活動の重要な構成要素であり、悪意のある広告を通じて多数のユーザをマルウェアに感染させる役割を担っています。10月末以降、現在進行中の不正広告キャンペーンにおいて、「DNSChanger EK」の改良版が使用されているのが確認されています。

DNSChangerは、潜在的な被害者のWebブラウザを介してインターネットルータを攻撃するマルウェアです。

EKは、ブラウザやデバイスの脆弱性ではなく、被害者の家庭や小規模オフィス(SOHO)のルータの脆弱性を攻撃します。

DNSChangerのようなルーターマルウェアの攻撃は、ほとんどの場合、WindowsデスクトップやAndroidデバイスのChromeブラウザを通じて行われます。しかし、いったんルータが侵害されると、OSやブラウザに関係なく、ルータに接続するすべてのユーザが攻撃を受けやすくなり、さらに広告攻撃が発生しやすくなります。

このインターネットからローカルネットワークへの攻撃のバリエーションは、内部サーバー、ドメインコントローラー、ファイアウォール、あるいはローカルでホストされているアプリケーション(http://localhost ドメインまたは他のローカルで定義されたドメインを経由)など、他のローカルシステムもターゲットにすることができます。

Googleは、Chrome内部にPNA仕様を導入し、許可交渉システムを構築することで、このような自動的な攻撃が可能になることを防ぎたいと考えています。

グーグルによると、PNAのバージョンはすでに2021年11月にリリースされたChrome 96に同梱されているが、フルサポートは今年、以下のようにChrome 98(3月初旬)とChrome 101(5月下旬)の2段階で展開される予定であるという。

Chrome 98での動き

Chromeは、プライベートネットワークのサブリソース要求の前にプリフライト要求を送信します。

プリフライトに失敗した場合、DevToolsに警告が表示されるだけで、プライベートネットワークのリクエストに影響はありません。

Chrome は互換性データを収集し、最も大きな影響を受けるウェブサイトに連絡を取ります。

既存のWebサイトと広く互換性があることを期待しています。

早ければChrome 101で実装されるようです

これは、互換性データから変更が十分に安全であることが示され、必要に応じて直接アウトリーチした場合にのみ開始される予定です。

Chromeはプリフライトのリクエストを成功させる必要があり、そうでない場合はリクエストを失敗させることを強制しています。

このフェーズの影響を受けるウェブサイトが時間延長をリクエストできるように、非推奨のトライアルが同時に開始されます。

このトライアルは、少なくとも6ヶ月間継続される予定です。

Comments

タイトルとURLをコピーしました