セキュリティホール memo の記事によれば、日本国内で ARP Spoofing による攻撃がされていた模様。もっとも、この ARP Spoofing という手口は TCP/IP の性質をしっていないと理解が難しいと思う。HTTP 応答パケットを悪用する ARP スプーフィング・ウィルスという記事が日経コミュニケーションのサイトにあるのでこの辺も読んでみるとよい。
通常、IP アドレスではないホスト名によるアクセスで DNS を引いて、IP アドレスを求めることは多くの方がご存じであると思う。しかし、Ethernet において実際にアクセスを実行するには物理アドレス (MAC アドレス)が必要である。その、MAC アドレスを求めるのに必要なのが、ARP (Address Resolution Protocol) である。ARP Spoofing はその ARP を利用して、MAC アドレスをすり替え意図したサーバと別のサーバにすり替えるために使われている。もっとも、ARP Spoofing は不正な目的だけではなく、ダムハブではないスイッチングハブを利用したネットワークにおいてパケットを管理上の理由などで収集する際にも用いられる。そういう意味では、典型的な薬と毒薬二つの顔を持つモノともいえる。
今回の事件を受けて、高木浩光@自宅の日記でも、「通信路上の攻撃発生に、Webサイト運営者が説明責任を負うのか?」といった発言が行われている。私も、こういった件に関して Web サイト運営者が説明責任を負うのは難しいと思う。今回の事件では、サーバ上に存在するコンテンツが改竄されたわけではない。通信路上での通信に対する攻撃であり、アドレスの詐称によってアクセス先が乗っ取られてしまったわけである。
通信路上に悪玉が存在していれば、アクセスの安全性が損なわれ得るということである。別館「S3日記」のアーティクル「通信路上での改竄発生」で書かれているように、サーバ管理・ネットワーク管理を行っている者は気を引き締めなければならないが。Webサイト管理者がすべての説明責任を背負うのはつらいなと思う。
