警察庁は3月17日、サイバー攻撃者がHTTPステータスコードを偽装してマルウェアに指令する手口を確認したとして、特徴や対策情報を公開した。ネットワーク監視などの際に注意するよう呼び掛けている。

それによると、見つかった手口ではマルウェアが感染先の端末から攻撃者のC2（コマンド＆コントロール）サーバへ接続した際に、サーバがHTTPステータスコード「404」を返す中に、別のC2サーバへ接続する命令を埋め込む。「404」は端末がリクエストしたファイルなどが接続先サーバに見つからない場合にサーバが返すコードであるため、ネットワーク監視時に接続が失敗したと誤認して、攻撃者の命令を見逃してしまう可能性がある。

警察庁は、ファイアウォールやプロキシサーバのログからマルウェアによる外部への通信を検出しようとする場合に、HTTPステータスコードが404などあっても接続の失敗と決め付けず、慎重に調べる必要があると解説する。

対策では、例えばプロキシサーバが特定のHTTPステータスコードでの応答を指定したファイルに置き換える機能の活用がある。これにより、HTTPステータスコードが偽装されたマルウェアとC2サーバの通信による攻撃を実質的に無害化させ、通信が失敗としたみなすことができるとしている。

Copyright © ITmedia, Inc. All Rights Reserved.