悪用されるCloudflare Tunnel

トンネルはいろいろなところで使われます。
いろいろな種類のVPNがありますが、これらはトンネルです。
VPNという種類として謳われていないセキュリティ製品も多くありますが、技法としてみるとトンネルを構成するものが多くあります。
そしてユーザの利用したい通信をこれらのトンネルに通すことで、関係者でない人に内容が知られなくすることができるものとなっています。

通常想定するのは、組織内の通信が組織外の人に内容を判別できないようにする、ということに思います。
同じことを脅威アクターも実施しています。
侵害先を操作している通信の内容を、侵害先の環境の人に知られることなく実施するためにトンネルを使用します。

Cloudflareというとまず思うのは、CDNです。
CDNはContents Delivery Networkで、Webコンテンツのキャッシュシステムです。
地理的に分散されたサーバーグループを配置し、ウェブコンテンツを効率的かつスピーディーに配信します。
しかしCloudflareはCDNだけでなく、いくつもの仕組みを提供しています。
そのひとつに、Cloudflare Tunnelがあります。

Cloudflare Tunnelは、VPN+プロキシのような感じで使うことができるものになっています。
手元の環境を直接外部に公開するのではないのですが、最終的には直接外部に公開したときのように、外部から利用することができるようになります。

Cloudflare Tunnelは多くのOSで動作します。
Windows、Linux、macOSがサポートされています。
これだけあれば、大抵の従業員用端末として使われるパソコンはカバーできそうです。

この仕組みを勝手に組み込まれる事例が増えてきています。
被害者のネットワークへのステルス永続アクセスの取得、検出の回避、侵害されたデバイスのデータの流出などが実現されてしまっています。

この仕組みが動作するとき、手元の環境ではcloudflaredが動作することになります。
この仕組みを自身で能動的に利用している場合はよいのですが、そうでない場合に手元環境でこれがあった場合、良く環境を確認したほうがよいです。
cloudflaredに限った話ではないですね。
そもそも何が通常存在してよいものなのか、平常状態を把握することが重要です。
そして平常状態を維持できているかを監視するということですね。

参考記事（外部リンク）：Tunnel Vision: CloudflareD AbuseD in the WilD
www.guidepointsecurity.com/blog/tunnel-vision-cloudflared-abused-in-the-wild/