クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-09-27 10:55

 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。

 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。

 これを発見したのは、Robert Hansen氏とJeremiah Grossman氏という2人の研究者で、彼らはこの問題の深刻さを強調するために、いくつかの情報を公開している。

 では、クリックジャックングとは実際にはどういうものなのだろうか。

 残念ながら、われわれが発見した問題の一部は、思ったよりもずっと悪いものだった。実際、あまりにも脅威が大きかったため、われわれは責任を持った情報開示をせざるを得ないと感じた。1つの問題が別の問題につながり、それがまた別の問題へとつながっている。すでに少なくとも2つのパッチが用意されており、まだ公開の日付は決まっていないが、他のベンダーもおそらくパッチを用意することと思われる。そして、われわれはまだ少数のベンダーとしか共同で作業をしていない。つまり・・・事態はかなり悪い。

 参加者が限定されていたOWASPの発表に参加していた人物によれば、この問題は確かにゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。

 一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。

(参照:Adobe Flash ads launching clipboard hijack attack

 もしこれでもその怖さが分からなければ、平均的なエンドユーザーはクリックジャッキングを受けている間、なにが起こっているかまったく分からないだろうということを考えてみて欲しい。

 例えばEbayはこの攻撃に弱い。なぜなら、この攻撃にはJavaScriptを必要としないが、ウェブページにJavaScriptを組み込むこともできるためだ。「必要はないが、もっと簡単にする方法はたくさんある。」もし安全を確保したければ、lynxを使って動的なことは何もしないことだ。この攻撃では、フォームを埋めるようなこともできてしまう。この攻撃にはDHTMLを必要とする。(フレーム禁止コードを使って)フレームを使わせないようにすれば、クロスドメインのクリックジャッキングは防げるが、それでも攻撃者は彼らのページ内のあらゆるリンクを強制的にクリックさせることができる。ユーザーが一度クリックするたびに、1回クリックジャッキングを起こすことができるので、FLASHゲームのようなものはこの攻撃に最適だ。

 Hansen氏によれば、脅威のシナリオについてMicrosoftとMozillaの両方と議論し、両社はそれぞれ個別にこれが難しい問題であり、すぐに実現できる簡単な解決方法はないことに同意したという。

 Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。

 当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。この情報では技術的な情報は伝わらないだろうが、これがわれわれに今できる最善のことだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  3. セキュリティ

    経営陣に伝わりづらい「EDR」の必要性、従来型EDRの運用課題を解決するヒントを解説

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. ビジネスアプリケーション

    中小企業のDX奮闘記--都市伝説に騙されずに業務改善を実現したAI活用成功譚

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]