Cache Poisoning: すべてのユーザーに悪意のあるコンテンツを提供させるCDNの仕組み 🗄️

はじめに：キャッシングインフラの隠れた危険性

Content Delivery Networks (CDNs) やウェブキャッシュは、今日のインターネットの見えない基盤であり、ウェブサイトの読み込み速度を向上させ、サーバーの負荷を軽減します。しかし、これらのパフォーマンス向上システムには、攻撃者が悪意のあるコンテンツを一度に何千、何百万ものユーザーに提供できる重大な脆弱性が潜んでいます。キャッシュポイズニングの世界へようこそ—信頼されるCDNを攻撃の武器に変える高度な攻撃手法です。

キャッシュポイズニング攻撃は、ウェブサイトが依存するキャッシングメカニズムを操作し、悪意のあるレスポンスを保存・配信させるものです。従来の攻撃が個々のユーザーを対象とするのに対し、キャッシュポイズニングは単一の悪意あるリクエストでその後のすべての訪問者に対してコンテンツを汚染し、攻撃の規模を拡大させることができるため、非常に破壊的です。

ウェブキャッシュのアーキテクチャ理解

攻撃の詳細に入る前に、ウェブキャッシングの仕組みを理解することが重要です。ユーザーがウェブリソースをリクエストすると、そのリクエストは通常複数の層を通過します：

1. クライアントブラウザ：最初のリクエストを行う
2. CDN／キャッシング層：世界中に分散した中間サーバー
3. オリジンサーバー：アプリケーションをホストする実際のウェブサーバー

CDNはキャッシュキーを使用して、新しいリクエストとキャッシュされたリソースを比較し、コンテンツをキャッシュから提供すべきかオリジンサーバーから要求すべきかを判断します。この最適化によりパフォーマンスは大きく向上しますが、攻撃者が保存・提供される内容を操作する機会も生まれます。

キャッシュはシンプルな原則に基づいて動作します：頻繁にリクエストされる静的リソースをローカルに保存し、オリジンサーバーへの問い合わせを繰り返さないようにします。これにより遅延とサーバー負荷が軽減されますが、その効果はキャッシュすべきか否かを正しく識別できるかに依存します。

キャッシュポイズニング：基本概念

キャッシュポイズニングとは？

キャッシュポイズニングは、HTTPリクエストを利用してオリジンサーバーに悪意のあるリソースを応答させ、同じキャッシュキーを持つクリーンなリクエストと区別なくキャッシュに保存させる攻撃です。この攻撃は、キャッシングインフラの異なるコンポーネントがリクエストを解釈・処理する際の差異を突いています。

この攻撃が成立するのは、キャッシングシステムの基本的な前提—同じキャッシュキーを持つリソースは常に同じ内容を返す—に依存しているためです。攻撃者はこれを悪用し、キャッシュ検証メカニズムをバイパスしつつ正規のリクエストと同じキャッシュキーにマッチさせるリクエストを作成します。

キャッシュポイズニングの仕組み

典型的なキャッシュポイズニング攻撃の流れは次の通りです：

1. 偵察：攻撃者はキャッシュシステムがどのようにキャッシュキーを生成し、どのパラメータを考慮しているかを特定
2. ペイロードの作成：正規のキャッシュキーの下にキャッシュされる悪意のあるリクエストを構築
3. キャッシュインジェクション：攻撃者は作成したリクエストを送信し、悪意のあるレスポンスをキャッシュに保存させる
4. 大量配布：そのリソースをリクエストしたすべてのユーザーに汚染されたコンテンツが配信される

攻撃者の視点から見た場合の魅力（スケーラビリティ）と、防御側の危険性は、その拡張性にあります。1回の成功した汚染試行で、キャッシュが期限切れになるか手動でクリアされるまで、何千ものユーザーに影響を与え続けることが可能です。

キャッシュポイズニングによるDoS（CPDoS）

キャッシュポイズニングの進化

キャッシュポイズニングによるDoS（CPDoS）攻撃は、オリジンサーバーにエラーを誘発させ、そのエラーがキャッシュに汚染されてしまうことで、サービスを利用不能にします。この攻撃は、キャッシュの悪用技術の重要な進化形です。

主要なCPDoS攻撃手法

研究により、次の3つの主要なCPDoS攻撃ベクトルが特定されています：

1. ヘッダー過大（HHO）攻撃：CDNは受け入れるがオリジンサーバーが拒否する過大なヘッダーを含むHTTPリクエストを送信します。これにより、CDNは通過させるが、オリジンでエラーとなり、そのエラーページがキャッシュされる仕組みです。

2. メタ文字（HMC）攻撃：CDNとオリジンサーバーの間で特殊文字の扱いに差異があることを突いた攻撃です。キャッシュには許容されるが、パースエラーを引き起こすメタ文字を利用します。

3. HTTPメソッド上書き（HMO）攻撃：HTTPメソッドの上書きヘッダーを操作し、キャッシュが正当とみなすリクエストをオリジンが拒否するようにします。

実世界への影響

15のウェブキャッシングソリューションを対象とした詳細な調査では、1つのプロキシキャッシュ製品と5つのCDNサービスがCPDoSに脆弱であることが判明しています。これには高価値のウェブサイトをキャッシュする主要なソリューションも含まれます。結果は深刻で、1つの悪意あるリクエストが大規模な地域のウェブサイトを麻痺させる可能性があります。

エラーページが注入されると、CDNは世界中のエッジキャッシュサーバーに配信し、ドイツのフランクフルトからの攻撃がヨーロッパやアジアの一部に影響を及ぼします。これは、攻撃者が最小限の労力で達成できるグローバルな影響範囲を示しています。

ウェブキャッシュの詐欺：プライベートデータの窃盗

キャッシュポイズニングは悪意のあるコンテンツの配信に焦点を当てていますが、ウェブキャッシュの詐欺は異なるが同様に危険な攻撃手法であり、キャッシングメカニズムを利用して敏感なユーザーデータを盗みます。

ウェブキャッシュの詐欺の理解

ウェブキャッシュの詐欺は、キャッシュルールを悪用して、敏感またはプライベートなコンテンツを保存させ、その後攻撃者がリクエストの差異を突いてアクセスするものです。この攻撃は、キャッシュを悪意のあるコンテンツで汚染する必要はなく、キャッシュに保存すべきでないコンテンツを誤って保存させることにあります。

攻撃の仕組み

ウェブキャッシュの詐欺攻撃では、攻撃者は被害者に対して悪意のあるURLを訪問させ、ブラウザに曖昧なリクエストをさせ、キャッシュがこれを静的リソースのリクエストと誤認識し、レスポンスを保存させます。

具体例：

1. 正規のユーザープロフィールページが https://example.com/my_profile に存在
2. 攻撃者が URL：https://example.com/my_profile/fake.css を作成
3. 被害者が認証済みの状態でこのリンクをクリック
4. オリジンサーバーは存在しない fake.css を無視し、プロフィールページを応答
5. キャッシュは .css 拡張子を見てレスポンスを静的ファイルとして保存
6. 攻撃者は同じURLをリクエストし、プライベートプロフィールデータのキャッシュを取得

これにより、攻撃者は同じURLをリクエストしてキャッシュされたレスポンスにアクセスし、不正にプライベート情報を取得できます。

キャッシュルールの悪用

ウェブキャッシュの詐欺は、.cssや.jsの拡張子にマッチする静的ファイルルールや、/staticや/assetsのようなURLパスのプレフィックスにマッチする静的ディレクトリルール、robots.txtやfavicon.icoなど特定のファイル名ルールを悪用します。

最近の脆弱性とケーススタディ

Next.jsのキャッシュポイズニング（CVE-2025-49826）

Next.jsのバージョン15.1.0から15.1.8に存在した重大な脆弱性は、ルートにおいてIncremental Static Regeneration（ISR）やServer-Side Rendering（SSR）を使用したルートで、HTTP 204レスポンスをキャッシュする設定と組み合わせた場合に、キャッシュポイズニングが発生し、サービス停止につながるものでした。

この条件下では、204 No Contentのレスポンスが誤って静的ページとしてキャッシュされ、すべてのユーザーに空の204レスポンスが返され、サービスが停止します。この脆弱性はCVSSスコア7.5と高い深刻度を持ちます。

BIND 9 DNSキャッシュポイズニング（CVE-2025-40778）

インターネット通信の基盤であるDNSインフラもキャッシュポイズニングの脆弱性に影響を受けています。CVE-2025-40778は、世界中で706,000以上のBIND 9リゾルバインスタンスに影響し、CVSSスコア8.6を記録しています。これは、クエリに含まれないリソースレコードを受け入れキャッシュするロジックの欠陥によるものです。

影響範囲は、バージョン9.11.0から9.16.50、9.18.0から9.18.39、9.20.0から9.20.13、9.21.0から9.21.12に及び、攻撃者は偽のアドレスレコードを注入し、攻撃者が制御するインフラに向けさせることが可能です。

汚染されたキャッシュは、TTL値に応じて何時間もまたは数日間、ダウンストリームのクライアントを誤誘導し、フィッシングやデータの傍受、サービス妨害を引き起こす可能性があります。

技術的深掘り：キャッシュキーの操作

キャッシュキーの理解

キャッシュキーは、キャッシングシステムがコンテンツを保存・取得するために使用する識別子です。一般的に含まれるのは：

• URLパス
• クエリ文字列パラメータ（場合による）
• ホストヘッダー
• 特定のリクエストヘッダー（設定による）

問題は、キャッシュが何をキャッシュキーの一部とみなすかと、オリジンサーバーがレスポンスを生成する際に使用するものとの間に不一致がある場合に生じます。この差異を突いて、攻撃者は次のようなリクエストを作成できます：

1. 正規のリクエストと同じキャッシュキーにマッチさせる
2. オリジン側で異なる動作を引き起こす
3. 意図しないコンテンツをキャッシュさせる

キーに含まれない入力：攻撃者の味方

多くのキャッシングシステムは、HTTPヘッダーのすべてをキャッシュキーに含めません。これらの「キーに含まれない入力」は、攻撃者が操作してもキャッシュキーに影響を与えず、汚染されたレスポンスが同じキーの正規リクエストと共に保存されることを可能にします。

一般的なキーに含まれない入力には次のものがあります：

• User-Agentヘッダー
• Accept-Languageヘッダー
• Cookie値
• カスタムアプリケーションヘッダー
• HTTPメソッドの上書きヘッダー

攻撃者はこれらの入力を体系的にテストし、次のような特徴を持つものを見つけ出します： - キャッシュキーに含まれない - オリジンのレスポンスに影響を与える - 悪意のあるコンテンツを注入可能

キャッシュポイズニングと詐欺への対策

オリジンサーバーの設定

組織はキャッシング設定を見直し、静的なファイルのみをキャッシュし、ユーザー入力に依存しないようにする必要があります。これは多くの攻撃ベクトルを排除します。

推奨設定のポイント:

1. 厳格なパス処理：存在しないパスへのリクエストを拒否し、パスコンポーネントを無視しない
2. 適切なCache-Controlヘッダー：キャッシュすべき・すべきでないを明示的に示す
3. Content-Typeの検証：レスポンスに正確なContent-Typeヘッダーを含め、リクエストされたリソースと一致させる

キャッシュ層の保護

最も効果的な対策は、エラーページのキャッシュを無効にすることです。CloudFrontやAkamaiなどのCDNは設定でこれを行えます。

CDN設定のポイント:

1. エラーページのキャッシュ無効化：4xxや5xxステータスコードのエラーをキャッシュしない設定
2. Cache-Controlの尊重：オリジンからのヘッダーを尊重させる
3. Content-Typeの検証：URLの拡張子とContent-Typeが一致するか確認してキャッシュ

Webアプリケーションファイアウォール（WAF）の導入

WAFはCPDoS攻撃の緩和に有効ですが、キャッシュの前に配置し、悪意のあるコンテンツをブロックする必要があります。キャッシュの後ろに置くと、エラーページを生成してキャッシュされる可能性があります。

高度な検知と監視

包括的な監視の実施:

1. キャッシュヒット率の分析：急激な低下は汚染の兆候
2. エラー応答の監視：キャッシュからの異常なエラー増加
3. Content-Typeの不一致：URL拡張子とContent-Typeの不一致に注意
4. キャッシュキーの監査：パラメータの見直し

異常検知:

• 過大なヘッダーを伴うリクエストの監視
• 特殊文字を含むヘッダーの追跡
• パス操作の異常リクエストの特定
• HTTPメソッド上書きの異常使用のアラート

インフラの脆弱性テスト

システム的脆弱性評価

基本的なウェブキャッシュ詐欺攻撃は、動的レスポンスを返すエンドポイントを特定し、キャッシュとオリジンのURLパスの解釈の差異を突き、悪意のあるURLを作成し、キャッシュされたレスポンスを取得することから始まります。

テストの流れ:

1. 動的エンドポイントの特定：ユーザー固有または敏感なデータを返すエンドポイントをマッピング
2. パス操作のテスト：これらのエンドポイントにさまざまな拡張子やパスを付加
3. キャッシュ動作の確認：変更したURLでキャッシュレスポンスが得られるか
4. キャッシュキーの分析：どのパラメータがキャッシュ保存に影響するか
5. 未キー入力のテスト：ヘッダーやパラメータの体系的なテスト

自動スキャンツール

キャッシュポイズニングの脆弱性を特定するツールには：

• Burp Suite拡張機能：Param Minerなど
• カスタムスクリプト：キャッシュ動作を体系的にテスト
• HCacheフレームワーク：ウェブキャッシュポイズニング検出用の研究ツール

キャッシュセキュリティの未来

新たな脅威

ウェブアプリケーションの複雑化とキャッシングシステムの高度化に伴い、新たな攻撃ベクトルが出現しています。最近の研究は次に焦点を当てています：

1. クライアントサイドキャッシュポイズニング：ブラウザレベルのキャッシュ操作
2. HTTP/2やHTTP/3の脆弱性：新プロトコルのキャッシュ挙動の悪用
3. エッジコンピューティングの脆弱性：エッジでの新たな攻撃面
4. APIキャッシュポイズニング：RESTやGraphQL APIの特有のキャッシュ課題

防御の進化

セキュリティコミュニティは高度な防御策を開発中です：

1. 機械学習による検知：異常なキャッシュパターンをAIで識別
2. ゼロトラストキャッシング：キャッシュからのコンテンツの真正性を検証
3. 暗号化キャッシュ検証：署名付きレスポンスの検証
4. 動的キャッシュキー生成：コンテンツの機密性に応じてキャッシュキーを適応させる

まとめ：堅牢なキャッシングアーキテクチャの構築

キャッシュポイズニングとウェブキャッシュの詐欺は、現代のウェブインフラにとって深刻な脅威です。これらの攻撃は、パフォーマンス最適化とセキュリティの間の根本的な緊張を突き、分散キャッシングシステムの複雑さを悪用します。

防御の鍵は、キャッシングは単なるパフォーマンス機能ではなく、適切に設定・監視されるべき重要なセキュリティ境界であることを理解することにあります。組織は次のことを徹底すべきです：

1. 多層防御の実施：キャッシングインフラ全体に複数のセキュリティコントロールを導入
2. 警戒心の維持：キャッシュの悪用兆候を継続的に監視
3. 最新情報の把握：キャッシュシステム、CDN、オリジンサーバーのパッチ適用
4. 定期的なテスト：脆弱性を攻撃者より先に発見するための体系的テスト
5. チーム教育：開発者や運用スタッフにキャッシュセキュリティの重要性を理解させる

ウェブアプリケーションがキャッシュに依存し続ける限り、その安全な実装の重要性は高まる一方です。この記事で紹介した攻撃ベクトルを理解し、適切な防御策を講じ、常に警戒を怠らないことが、ユーザーを守るための鍵です。攻撃者と防御者の戦いは進化し続けており、継続的な教育と適応が安全なウェブインフラ維持の要です。

---

重要ポイント

• キャッシュポイズニング攻撃は、単一のリクエストで全ユーザーに悪意のあるコンテンツを提供可能
• CPDoS攻撃はエラーページを汚染し、ウェブサイト全体をダウンさせる
• ウェブキャッシュの詐欺はパスの混乱を突いてプライベートデータを盗む
• 最新の脆弱性は有名フレームワークやDNSサーバーに存在し続ける脅威
• 適切な設定と監視・テストがキャッシュの安全性を保つ鍵
• 理解と対策が、キャッシュキー生成や未キー入力、コンテンツ検証において重要

これらの攻撃の高度さと影響の大きさから、キャッシュセキュリティは大規模運用の組織にとって最優先事項です。誤設定や見落としが広範囲に被害を及ぼす可能性があるため、常に最新の情報を追い、適切な防御策を講じることが求められます。理解と対策を徹底し、セキュアなウェブインフラを維持しましょう。