国内外で ARP Spoofing を使用した Web 改ざんの被害が幾つか確認されています。以下のようなシナリオで Web 改ざんが発生しています。 1. 攻撃者は、対象となるサーバ A と同一ネットワーク (ブロードキャストドメイン) 上の脆弱なサーバ B に侵入します。 2. 攻撃者は、サーバ B 上で ARP Spoofing を行い、外部とサーバ A 間の HTTP の通信を仲介し改ざんを行うことで、不正なスクリプトを挿入します。 3. ユーザがサーバ A の Web サイトを閲覧するとユーザのブラウザ上で不正なスクリプトを実行され、ユーザの PC がマルウェアに感染するなどの被害が発生します。 サーバ A の管理者がセキュリティ対策を行っていても、他のサーバへの侵入からサーバ A のユーザに被害がおよぶという点で、発見や対処が困難になります。 この問題に対する解決方法としては、ネットワークの機器全てでスタティックに ARP テーブルを設定する方法があります。ただし、全ての機器の MAC アドレスを管理し、全ての機器に設定が必要となるため、 大規模なネットワークでは運用が困難になるでしょう。 その他の対策としては、Arpwatch などの ARP テーブル変更を監視するツールを用いて ARP Spoofing を検知する、ネットワークを構成するスイッチで DHCP Snooping 機能を用いるなどの対策が考えられます。
参考文書(日本語)
-
Trend Micro Security Blog
ネットワーク機器がホームページ改ざん幇助:ARPスプーフィングの脅威
http://blog.trendmicro.co.jp/archives/1388
参考文書(英語)
-
McAfee Avert Labs Blog
ARP Spoofing: Is Your Web Hosting Service Protected ?
http://www.avertlabs.com/research/blog/index.php/2007/10/04/arp-spoofing-is-your-web-hosting-service-protected/
Weekly Report 2008-06-11号 に掲載