レンタルサーバーのさくらインターネット(本社:大阪市中央区)は、同社サーバーの一部が1日から2日にかけて不正アクセスを受け、当該時間帯に同社のレンタルサーバーで運営されているサイトを閲覧したユーザーは、ウイルス感染のおそれがあると発表した。
発表によると、障害が発生したのは1日午前1時52分頃から2日午後5時23分頃で、影響を受けたのはIPアドレスが「219.94.145.0」~「219.94.145.127」のサーバー。同社は、影響を受けた契約者へは、メールで詳細について報告したという。
同社サイトの「メンテナンス・障害情報」で障害の経過報告がなされたのは、2日から4日にかけてだった。しかし、実際に不正アクセス攻撃が行われた1日から2日には、同社のレンタルサーバー上のウェブサイトが次々に改ざんされていることが、複数の日記やブログ、掲示板、IRC、メーリングリストなどで指摘され、騒ぎになっていた。
指摘されていた内容は、当該ウェブサイトに、攻撃サイトに誘導するiframeタグが埋め込まれていること、攻撃サイト側ではRealPlayerやFlash Playerの脆弱性を突く攻撃が行われること。また、不正コードが埋め込まれたウェブサイトでも、サイトのコンテンツ自体は改ざんされていないことも、指摘されていた。
では、どこで不正コードの埋め込みが行われているのか。この疑問は、同社の調査により、ARPスプーフィング(下記【解説】参照)という攻撃手法で、通信経路がハイジャックされていたためであることがわかった。同社のネットワーク配下の専用サーバーが不正侵入を受け、ゲートウェイIPアドレスを詐称する攻撃サーバーとなり、不正中継したデータコンテンツに対し、iframeによる不正コードを挿入したとみられる。
同社は、このような攻撃の場合の検知システムが整っておらず、長時間にわたり障害が発生する結果となったと反省。今後は、このようなIPアドレスを不正利用して行われる攻撃をいち早く検知できるシステムを整備し、不正利用が判明した際には速やかにネットワークから隔離できる体勢を早急に整備するとしている。
【解説:ARPスプーフィング】
ネットワーク内の機器に対し偽のARPパケットを送り、ARPテーブルを汚染する攻撃のこと(スプーフ=spoof:騙す)。ネットワーク内の通信は、個々の機器が持つMACアドレスを使用して通信相手を特定する。インターネットの通信に使うIPアドレスから、このMACアドレスを取得するプロトコルをARP(Address Resolution Protocol)という。各機器は、通信のたびにMACアドレスを取得しなくてもすむよう、取得したMACアドレスとIPアドレスの対応表を一時的に保管しており、これをARPテーブルという。偽のARPパケットによって、特定のIPアドレスが偽の機器のMACアドレスに対応するようARPテーブルが書き換えられてしまうと、以後、書き換えられた機器から特定のIPアドレスにあてた通信が偽の機器に送られ、横取りされてしまう。
今回の事例では、侵入したサーバーからネットワーク内の他のサーバーに対してARPスプーフィングを行い、インターネットへの通信を中継するルーター(ゲートウェイ)に成りすまし、各サーバーからインターネットに向けて送られるはずの通信内容を横取り。コンテンツに不正なiframeタグを書き加えて本物のルーターに渡すというやり方で、不正なコードの埋め込みが行われた。
(2008/06/06 ネットセキュリティニュース)
■障害発生のお知らせ(さくらインターネット)
http://support.sakura.ad.jp/page/news/20080602-001.news