クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008年09月27日 10時55分

  • このエントリーをはてなブックマークに追加

 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。

 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。

 これを発見したのは、Robert Hansen氏とJeremiah Grossman氏という2人の研究者で、彼らはこの問題の深刻さを強調するために、いくつかの情報を公開している。

 では、クリックジャックングとは実際にはどういうものなのだろうか。

 残念ながら、われわれが発見した問題の一部は、思ったよりもずっと悪いものだった。実際、あまりにも脅威が大きかったため、われわれは責任を持った情報開示をせざるを得ないと感じた。1つの問題が別の問題につながり、それがまた別の問題へとつながっている。すでに少なくとも2つのパッチが用意されており、まだ公開の日付は決まっていないが、他のベンダーもおそらくパッチを用意することと思われる。そして、われわれはまだ少数のベンダーとしか共同で作業をしていない。つまり・・・事態はかなり悪い。

 参加者が限定されていたOWASPの発表に参加していた人物によれば、この問題は確かにゼロデイ脆弱性で、すべてのブラウザに影響があり、しかもJavaScriptとは関係がないものだという。

 一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。

(参照:Adobe Flash ads launching clipboard hijack attack

 もしこれでもその怖さが分からなければ、平均的なエンドユーザーはクリックジャッキングを受けている間、なにが起こっているかまったく分からないだろうということを考えてみて欲しい。

 例えばEbayはこの攻撃に弱い。なぜなら、この攻撃にはJavaScriptを必要としないが、ウェブページにJavaScriptを組み込むこともできるためだ。「必要はないが、もっと簡単にする方法はたくさんある。」もし安全を確保したければ、lynxを使って動的なことは何もしないことだ。この攻撃では、フォームを埋めるようなこともできてしまう。この攻撃にはDHTMLを必要とする。(フレーム禁止コードを使って)フレームを使わせないようにすれば、クロスドメインのクリックジャッキングは防げるが、それでも攻撃者は彼らのページ内のあらゆるリンクを強制的にクリックさせることができる。ユーザーが一度クリックするたびに、1回クリックジャッキングを起こすことができるので、FLASHゲームのようなものはこの攻撃に最適だ。

 Hansen氏によれば、脅威のシナリオについてMicrosoftとMozillaの両方と議論し、両社はそれぞれ個別にこれが難しい問題であり、すぐに実現できる簡単な解決方法はないことに同意したという。

 Grossman氏はInternet Explorerの最新版(version 8を含む)とFirefox 3がこの問題の影響を受けることを認めた。

 当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。この情報では技術的な情報は伝わらないだろうが、これがわれわれに今できる最善のことだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化