「ARP spoofing」と言う手法でiframeが埋め込まれたという話。

ゆずソフト方面。やっぱり ARP spoof なのかなあ。

本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。

ちょっとかかわったので、流れを記録として残しておこうと思います。

2007年は，ARPスプーフィングという手口を使うウイルス（ARPキャッシュ・ポイズニング・ウイルス）が数多く登場した。この種のマルウエアからは大量の亜種が派生し，中国で広く流行している。先ごろ筆者らは，新たな特徴を持つARPスプーフィング・ウイルスを見つけた。

去年流行ってたらしいというのは知っていたが、正直なところ身近に感じてなかったんで詳細までは知ろうとしてなかった。
今回（上記）の問題が発生したというのを見て・・・・
メチャメチャ身近な問題やん！！
ということに気がついた。
しかも、自分とこのサーバ単体はセキュリティ的には問題無くってもネットワーク経路上にARP spoofingの手口により汚染されたものがあったらiframeが埋め込まれる（その他どんなタグでも埋め込まれたりする）というなんとも恐ろしいものだ。