Internet Security - Trend Micro

トレンドマイクロのセキュリティブログ「偽装ヘッダ、不正プログラムとの通信を隠ぺい」に興味深い偽装ヘッダの話題が掲載された。2013年7月中旬ごろに従来の方法とは異なるやり方で不正サーバと不正クライアントとの通信検出を逃れる「偽装ヘッダ」の手法が確認されたという。

この「偽装ヘッダ」は、HTTPのリクエストヘッダに一見適切なサイトと通信を試みようとしていることを表すために「Host: 適正なサイト」のヘッダを追加するという。このヘッダはネットワークパケットそのものを変更するやり方でデータを送信する直前に追加され、システム上のファイルなどを変更することがない。しかし実際には不正サイトとの通信を実施しているという。

このため、リクエストヘッダなどをフィルタリングする方法でセキュリティモニタリングなどを実施している場合、実際には不正なサイトと通信を行っているにも関わらず、それに気が付かない可能性がある。セキュリティ担当者やネットワーク管理者は注意が必要。