脆弱性実証コードの開発、テスト、利用のためのオープンソースプラットフォームであるMetasploitの公式プロジェクトサイトが、米国時間6月2日に著名な中国のアンダーグラウンドの人物にハイジャックされた。この人物は新しいゼロデイ脆弱性を販売しているという意味の次のメッセージを残している -- "hacked by sunwear! just for fun! ring04h come on :) ps:sell 0day, my qq 47347 .call me sunwear"。H D Moore氏によれば、このメッセージの表示とMetasploit.comから中国語のフォーラムへの転送は、ISPレベルのARPポイゾニングによって行われたようだ。
問題は解決した。誰かがwww.metasploit.comのサーバが存在するルータのIPアドレスに対しARPポイゾニングを行っている。私が実際のルータのARPエントリをハードコーディングしたところ、このMITM問題は解決したようだ。これはそのネットワーク上の他の250ほどのサーバについては助けにはならないが、それはそのISPが解決する問題だ。
中国のハッカーはその後、ARPポイゾニングが行われていた時点でMetasploit.comがどのように見えていたかを示す画像を、訪問者がリダイレクトされていたサイトにあったフォーラムで配布した。これは自分で見て確かめて欲しい。ただMetasploitの公式サイトを乗っ取ることでゼロデイ脆弱性を売りに出すというのはできすぎで、本物のゼロデイ脆弱性が役に立ったということは考えにくい。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ