過去問(H25SC秋午後Ⅱ問1)を見てみよう。
K主任:NさんのPCは,どのようにしてMさんからのメールを入手したのでしょうか。
X氏 :状況から考えると,NさんのPCがマルウェアPに感染し,LさんのPCのメール受信時の通信を盗聴した可能性があります。
K主任:どのような手口が使われたのでしょうか。
X氏 :[ d ]という盗聴の手口が利用されたのではないかと思います。
X氏は,図12の拠点6のネットワーク構成及び図13の盗聴時のLさんのPCのARPテーブルを用いて,K主任に盗聴の手口を説明した。
情報セキュリティスペシャリスト過去問H25秋
X氏 :この手法で盗聴されていたとしたら,LさんのPCのARPテーブルは図13のようになっていたはずです。
K主任:なるほど。このような手口だと,[ f ]を利用してネットワークを構築していても盗聴されてしまいますね。
 X氏はNさんのPC上に保存されているメールが他にもないか,社内で他にもマルウェアPの感染や不審なメールの受信がないかなどを調査し,今回の事象をまとめて報告書を作成した。

設問3 (2)本文及び図14中の[ d ],本文中の[ f ]に入れる最も適切な字句を答えよ。
(3)図13中の[ e ]に入れる適切なMACアドレスを答えよ。
(4)本文及び図14中の[ d ]の手口を用いてNさんのPCによる盗聴が成立するパケットの送信元IPアドレスの範囲を具体的に答えよ。

正解
(2)
d ARPスプーフィング
f L2SW
→この意図を補足する。通常、スイッチングHUBは、MACアドレスを見て、該当ポートにのみフレームを転送する。よって、ネットワーク上の関係のない端末では、たとえ同一セグメントにあったとしても盗聴はできない。
しかし、今回のARPスプーフィングであれば、盗聴ができるのである。

(3)xx:xx:xx:aa:bb:22
 つまり、NさんのPCのMACアドレス。ウイルスに感染しており、すべての通信をここで盗聴したあと、転送される。

(4)192.168.1.1,192.168.1.3~192.168.1.253

ARPスプーフィングはなぜ成功するのだろうか
そもそもであるが、ARPスプーフィングはなぜ成功するのだろうか?
過去のOSでは、ARP応答を無条件に信じたようである。なおかつ、ARP要求を送って いない場合でも、突然ARP応答が来たら、それを信じたのだ。当然、そんなのは改良されている(と思う)。
情報セキュリティスペシャリスト試験を目指す女性SE 

では、攻撃するPCに、嘘のARPレスポンスを定期的に送り続ければいいかもしれませんね。
なるほど、PCが本当のARP要求を送ったタイミングで、攻撃者の嘘のレスポンスを受け入れるということだね。
でも、そんなバッチリのタイミングで送ることは難しいだろう。

理屈はもっと簡単だ。攻撃対象のPCは通信するために、ARP要求を定期的に発する。それはブロードキャストだから、攻撃するPCにも届くわけだ。だから、攻撃PCは、正規のPC応答より早く「自分が本物ですよ!」と返すのである。

以下の記事も参考になります。
http://itpro.nikkeibp.co.jp/article/COLUMN/20090225/325452/

また、別の過去問(H29春SC午後1問1)で、ARPスプーフィングではなくARPポイズニングとして、攻撃に関する詳細な設問があります。