2008年06月03日
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。
昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。
しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツが改竄されるわけではない。これは、通信路上での通信データの改竄の一種である。
元々、SSLの必要性が語られるときによく言われるように、インターネットでは通信路上で通信データを盗聴されたり改竄されたりする危険がある。通信路上のどのあたりで盗聴や改竄が行われるかは、いろいろなケースがあるだろうが、危ういのは通信の端点に近いところであろう。
図のA、B、E、Gの矢印は、通信路上の攻撃され得る場所を表す。Gはブラウザ利用者の最も近いところで攻撃されるケースを表しており、たとえば、公衆無線LANやホテルのインターネット接続サービスを利用しているときに、偽アクセスポイントに繋いでしまったり、ホテルの他の部屋から攻撃を受けるケースなどが該当する。この場合、改竄の影響を受けるのは図中の「ブラウザ」のユーザだけとなる。
図のC、D、Fの矢印は、「サーバ」の内容を閲覧する他のユーザに向かう通信の分岐点を表している。「ブラウザ」のユーザは、Fのユーザと比較的長い経路を共有する(同じ経路を使う)が、Cのユーザとは共有している経路が短いことを表している。
レンタルサーバ事業者内ネットワークでのARP spoofingは、Aのポイントでの攻撃である。その影響は、「ブラウザ」のユーザだけでなく、C、D、Fのユーザにも同様に波及し得る。どこから見てもWebページが改竄されているように見えることから、Webサイト運営者が「お詫び」を発表せざるを得なくなることがあるかもしれない。
しかし、Gのポイントで攻撃が行われたときに、Webサイト運営者が「お詫び」を発表するということはないだろう。この場合、信頼性の低い接続で、https:// でないページを閲覧した「ブラウザ」ユーザにも責任がある。
ならば、Eのポイントで攻撃が行われたときはどうなのか。何割かの多数の人々に影響を及ぼしたとき、サイト運営者が「お詫び」を発表しなくてはいけないのだろうか? サイト運営者には何の過失もないのに? なら、Bのポイントで攻撃されたときはどうなのか?
そもそもインターネットとはそんなものなのだから、SSLの必要性が説かれる。盗聴されて困る情報を送信したり閲覧するときは、ユーザ自身が https:// のページであることを確認して使う。
しかしすべてのWebページが https:// で提供されているわけではない。通信路上で盗聴されたり改竄されても「まあ、いいだろう」というサービスではそのような判断がなされている。
そうすると、通信路上で <iframe>などでウイルスファイルへのインラインリンクを埋め込まれる可能性があることを、放置してよいのかということになる。もし、「放置してはならない」とする考え方を選択するなら、すべてのWebサイトはSSLを用い、すべてのページを https:// で提供しなければならないことになる。それは現実的でないだろう。
じつのところ、ウイルスファイルへのインラインリンクを埋め込まれることは、さして重大なことではない。なぜなら、ウイルスファイルへのインラインリンクが埋め込まれていても、Webブラウザ側に脆弱性がないならば、ウイルスが起動することはなく、無問題だからだ。
それなのに、Webサイトのコンテンツを改竄された企業が「お詫び」を発表するのが慣例になりつつあるのは、ウイルスのことというよりも、サーバの管理に不備があって侵入を許したこと自体が重大であるからであるはずだ。同じ原因によって個人情報の漏洩等も生じ得る状態にあったのではないかという点から、サイト運営者に責任が問われている。
それに対比すれば、ARP spoofingによって通信路上の改竄でHTMLを差し替えられる被害に遭ったWebサイト運営者に対して「お詫びを出さなければならない」とする世論があるとしたら、それはおかしいのではないか。
さくらインターネットは、今回の件について現時点では次のように発表している。
[6月3日追記]
同一ネットワーク内に収容された一部サーバにおいてネットワーク設定の誤りにより、本障害が引き起こされました。
該当のサーバを隔離することにより、障害は解消しております。
[6月3日追記2]
弊社技術者により該当のサーバを調査しましたところ、上記サーバにてクラッキングされていたことが判明いたしました。そのため、影響範囲のお客様サーバへ WEBによるアクセスを行った場合、改竄されたウェブページが表示される事象がございました。状況によっては、ウイルス等による被害をうけられる可能性がございました。
影響を受けられたお客様へは、別途状況の連絡をさせていただきます。
障害発生のお知らせ, さくらインターネット
Webサイト運営者から状況を発表せよというのは酷な話ではないだろうか。
Information Security ネットワーク 攻撃手法*3 ARPスプーフィング 攻撃対象となる2つのホスト(端末)に対し嘘のARP応答パケットを送り込むことでARPテーブルを汚染し、攻撃対象間の通信を傍受したり改ざんしたりする攻撃。 対策 WindowsXPでのARPスプーフィング対...
「通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負...
高木氏が良いこと言った。 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? そもそもインターネットとはそんなものなのだから、 (中略) すべてのWebサイトはSSLを用い、すべてのページを https:// で提供しなければならないことになる。それは現実的で..
about 高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? HTTPSを導入してもアクセラレータとかが噛んでればどこかで剥けたりするわけだし、the InternetにはHTTP以外にもプロトコルはある。(いわゆる、「インターネット(笑)」..
Cnetブログ
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
- スラドarticle [08/06/05/008238] ×8 : 7, 1 (2024-02-13)
- http://www.cworld2000.com/cgi-bin/mt/mt-search.cgi?search=F&... ×4 (2022-05-23)
- https://www.google.co.jp ×8 (2015-11-01)
- スラッシュドットcomments [404632] ×290 : 88, 26, 24, 23, 17, 15, 13, 9, 7, 7, 6, 4, 4, 4, 3, 3, 3, 3, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2014-08-16)
- スラッシュドットarticle [08/06/05/008238] ×983 : 423, 355, 108, 65, 16, 6, 5, 3, 1, 1 (2013-10-21)
- はてなダイアリー [mmasuda 20080604] ×211 : 206, 4, 1 (2013-08-27)
- Togetter [23160] ×3 : 2, 1 (2013-04-24)
- はてなダイアリー [maru_cc] ×14 : 8, 2, 1, 1, 1, 1 (2013-01-23)
- スラッシュドット ×5 : 4, 1 (2010-08-10)
- Twitter [hiromitsutakagi] ×3 : 2, 1 (2010-05-27)
- Twitter [HiromitsuTakagi] ×34 : 32, 1, 1 (2010-05-24)
- はてなブックマークコメント ×146 : 70, 49, 14, 7, 3, 1, 1, 1 (2010-03-22)
- はてなダイアリー [mmasuda] ×59 : 55, 2, 1, 1 (2009-07-14)
- はてなダイアリー [KURO] ×2 : 1, 1 (2009-05-09)
- http://security.c-inf.com/index.php?cmd=read&page=Network ×7 (2009-04-27)
- CNET Japanブログ [governance 2009/02/16/entry_27020339] ×16 : 12, 4 (2009-02-16)
- http://kanonji.clipp.in/tag/さくらインターネットでarp spoofing ×6 (2009-01-20)
- http://blogs.atanaka.biz/tanaka/index.php?blogid=2&archive=2... ×12 (2008-09-10)
- ココログ [dole moe] ×4 : 3, 1 (2008-07-23)
- So-netブログ [asthenosphere] ×3 : 2, 1 (2008-06-18)
- http://taka.no32.tk/diary/200806.html ×5 (2008-06-14)
- はてなブックマークコメント [8832539] ×9 (2008-06-11)
- http://blogs.atanaka.biz/tanaka/index.php?itemid=730 ×28 (2008-06-11)
- http://www.cworld2000.com/blog/archives/2008/06/arp_spoofing... ×7 (2008-06-10)
- http://neng.it.ns-sol.co.jp/wiki/index.php?未分類 ×5 (2008-06-10)
- http://158.202.232.121/sinjin/2008/terada/2008/06/post_12.ht... ×5 (2008-06-10)
- mixi diary [267087] ×3 : 2, 1 (2008-06-07)
- mixi diary [1130148] ×5 (2008-06-05)
- http://taka.no32.tk/diary/ ×18 (2008-06-05)
- http://security.c-inf.com/index.php?Network ×31 (2008-06-05)
- http://taka.no32.tk/diary/20080605.html ×6 (2008-06-05)
- セキュリティホールmemo ×1760 : 1420, 324, 13, 1, 1, 1 (2008-06-05)
- http://clipp.in/tag/さくらインターネットでarp spoofing ×10 (2008-06-05)
- http://blog.ptlabo.net/index.php?id=08060014 ×17 (2008-06-05)
- はてなダイアリー [satomi_hanten] ×8 (2008-06-05)
- http://ymch.jp/blog/ ×5 (2008-06-05)
- Twitter [account] ×3 : 1, 1, 1 (2008-06-05)
- ココログ [stressfulangel cocolog] ×10 : 9, 1 (2008-06-04)
- Twitter [mmasuda] ×2 : 1, 1 (2008-06-04)
- http://www.kumachan.biz/pismo/blog/archives/2008/06/04_1226/... ×4 (2008-06-04)
- ime.nu /20080603.html ×11 (2008-06-04)
- はてなブックマークコメント [http://blog.trendmicro.co.jp/archives/1388] ×4 (2008-06-04)
- はてなダイアリー [maru_cc 20080602] ×491 : 488, 3 (2008-06-04)
- http://itpro.nikkeibp.co.jp/index.html ×8 (2008-06-04)
- キーワード不明 ×30 / 改竄 ×13 / さくらインターネット 改竄 ×12 / SSL 改竄 ×10 / さくらインターネット 改ざん ×9 / ssl 改竄 ×7 / 説明責任 ×5 / さくらインターネット 攻撃 ×5 / 通信データ 改ざん ×5 / 高木浩光 さくら ×4 / 通信 改竄 ×4 / web改竄 ×4 / arp spoofing ×4 / Web改竄 ×4 / web 改竄 ×4 / http 通信 改ざん ×3 / 高木浩光 さくらインターネット ×3 / 高木浩光 ×3 / 通信 データ 改ざん ×3 / さくら arp 高木浩光 ×3 / https 改竄 ×3 / Webサイト改竄 ×3 / ページへリンクを 改ざん ×2 / Web spoofing ×2 / 技術者 説明責任 ×2 / サイト改ざん 責任 ×2 / webサイト 運営 ×2 / Webサイト 改竄 ×2 / g 高木浩光 ×2 / サーバー侵入 お詫び ×2 / https ×2 / HTML 改竄 ×2 / 通信データの改ざん ×2 / HTTP通信 改竄 ×2 / 高木浩光 ブラウザ ×2 / 改竄 SSL ×2 / さくらインターネット クラッキング iframe ×2 / webサイト 攻撃 ×2 / html 改竄 ×2 / ARP Spoofing ×2 / さくらインターネット ×2 / 通信改竄 ×2 / 弊社技術者により該当のサーバを調査しましたところ、上記サーバにてクラッキングされていたことが判明いたしました。そのため、影響範囲 ×2 / https 攻撃 ×2 / ARP spoofing ×2 / "https" 改竄 ×2 / さくら 改竄 ×2 / 通信データの改竄 ×2 / 通信ネットワーク 改竄 ×2 / ARP 高木浩光 ×2 / SSL 高木 同じ -EV ×2 / http 改竄 ×2 / Webサイトが改竄された場合に、一般ユーザが閲覧したときの危険性 ×2 / 路上 ×2 / 通信 改ざん 手口 ×2