HTTPステータスコードを偽装するC2サーバが観測されたとして、警察庁が注意を呼びかけている。
同庁によると、観測されたC2サーバは不正プログラムに感染した端末の接続により、リクエストされたファイルが存在しないことを意味するHTTPステータスコード404を返し、同時に応答の中に別の命令を埋め込んでいた。通常、接続に成功するとHTTPステータスコードは200番台であるが、偽装C2サーバはエラーの404を返すため、ネットワーク管理者が感染端末とC2サーバとの不正通信を見落としたり接続の失敗を無害であると誤認する恐れがある。
対策として
ファイアウォールやプロキシサーバのログを調査した際にはステータスコードが404でも通信失敗と思わずに調査するようにし、特定のステータスコードに対して指定したファイルに置き換える機能をもったプロキシサーバを利用するなどの対策を推奨している。
