さくらのホスティングでARP spoofing攻撃が発生

数日前からethna.jp、jp2.php.netがおかしいという話がありましたが、どうやら同じセグメント内のサーバがクラックされてARP spoofing攻撃をしていたようです。これによって、同じセグメントに存在する各サーバからのHTTPのコンテンツが改ざんされて攻撃用のiframeが埋め込まれる状態になってしまっていたようです。

さくらインターネットの一部ホスティングサーバーに不正コード挿入の被害

さくらインターネットに確認したところ、この問題は当該IPアドレス内の1台のサーバーがクラッキングされ、このサーバーから「ARPスプーフィング」と呼ばれる攻撃が行なわれたことにより発生した模様だとしている。ARPスプーフィングとは、不正なパケットにより通信経路情報を書き換えるもので、これにより今回の攻撃では、当該IPアドレス内のサーバーの通信経路が書き換えられ、Webの通信が不正なコードを挿入するサーバーを経由するようにされてしまった。

ethna-usersを読んでいましたが、ARP spoofingであると判明するまでには結構手間がかかっていたようでした。HTTPのような暗号化されていないプロトコルは、こういうman-in-the-middle攻撃を受けると無力ですね。例えばですが攻撃対象がSMTPだったとしたら、受送信するメールすべてに添付ファイルでウィルスがついてくるという可能性も考えられるわけで・・・恐ろしいですね。

ここもさくらのホスティングなので明日はわが身ということもあるのかもしれません。