404応答にマルウェアへの命令を隠す攻撃手法を確認、ネットワーク監視で注意を
サイバー攻撃の新たな手口が確認され、警察庁が対策などをアドバイスしている。
» 2016年03月18日 11時16分 公開
[ITmedia]
警察庁は3月17日、サイバー攻撃者がHTTPステータスコードを偽装してマルウェアに指令する手口を確認したとして、特徴や対策情報を公開した。ネットワーク監視などの際に注意するよう呼び掛けている。
それによると、見つかった手口ではマルウェアが感染先の端末から攻撃者のC2(コマンド&コントロール)サーバへ接続した際に、サーバがHTTPステータスコード「404」を返す中に、別のC2サーバへ接続する命令を埋め込む。「404」は端末がリクエストしたファイルなどが接続先サーバに見つからない場合にサーバが返すコードであるため、ネットワーク監視時に接続が失敗したと誤認して、攻撃者の命令を見逃してしまう可能性がある。
警察庁は、ファイアウォールやプロキシサーバのログからマルウェアによる外部への通信を検出しようとする場合に、HTTPステータスコードが404などあっても接続の失敗と決め付けず、慎重に調べる必要があると解説する。
対策では、例えばプロキシサーバが特定のHTTPステータスコードでの応答を指定したファイルに置き換える機能の活用がある。これにより、HTTPステータスコードが偽装されたマルウェアとC2サーバの通信による攻撃を実質的に無害化させ、通信が失敗としたみなすことができるとしている。
squidで設定する例(同)
関連記事
マルウェアの遠隔操作にDNS悪用の新たな手口、ラックが注意喚起
通常はHTTP(S)通信が悪用されるが、大手企業を中心にDNSプロトコルを使う手口が新たに確認された。企業の管理が手薄になっている場合も多く、確認が急がれる。
SIPサーバへの不審なアクセス、3年半で約6倍増に
探索とみられるアクセスはポート5060/UDPを中心に幅広く行われ、警察庁はセキュリティ対策状況の再点検を呼び掛けている。
2015年のネット不正送金被害は過去最悪に、対策未実施口座が7割も
被害件数は2014年より減少したものの、被害額は約30億7300万円と過去最悪になった。
MicrosoftのOWAを悪用する新手の攻撃手法、セキュリティ企業が報告
何者かがMicrosoftの「Outlook Web App」(OWA)を悪用して、ログイン情報を盗んだりバックドアを通じて被害者の環境にアクセスしたりできる状態を確立していた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
ITmediaはアイティメディア株式会社の登録商標です。