アドビ、「Flash Player」の「クリックジャッキング」回避策を発表

文:Robert Vamosi(CNET News.com) 翻訳校正:編集部 2008年10月09日 15時43分

  • このエントリーをはてなブックマークに追加

 Adobeは米国時間10月7日、攻撃者が「Flash」のセキュリティ設定を変更できるという重大な問題に対する回避策を発表した。

 WhiteHat Securityの最高技術責任者(CTO)であるJeremiah Grossman氏が9月にブログに投稿した内容によると、「クリックジャッキング(clickjacking)」という言葉は、「攻撃者がユーザーをだまし、ほとんど気付かないか、気付くチャンスが一瞬しかないような何かをクリックさせるような攻撃手法」に付けられた名前であるという。また同氏は、「クリックジャッキングへの対策は主としてブラウザベンダーの双肩にかかっている」と述べたものの、自身とRobert Hansen氏は協議のうえで、これ以上の詳細情報の公開を控えるとともに、最近開催された「OWASP NYC AppSec 2008 Conference」で行う予定だった討論もAdobeからの要請により中止したと述べている。Adobeは両氏に対して謝意を表明している。

 簡単に言えば、この攻撃では、悪意をもって作成されたウェブページ上に埋め込まれたオブジェクトが使用される。攻撃者はフレーム化されたコンテンツ、Flashや「Silverlight」「Java」を用いたコンテンツを使用することで、マウスポインタの下に透明な、つまり目に見えないボタンを配置することで、ユーザーがページ上の何かをクリックすると(例えば、Googleの検索結果で次ページを見るためのリンクをクリックすると)、悪意のあるコードを含んだ見えないウェブサイトもクリックされるように仕組むのである。またこの攻撃では、自身を偽装するためにダイナミックHTML(DHTML)やCSS(Cascading Style Sheets)を利用することも考えられる。

 Guy Aharonovsky氏はブログで、クリックジャッキングの手法を用いてFlashのセキュリティ設定を変更し、PCのウェブカムやマイクを乗っ取るプロセスを説明している。同氏は、これによって遠隔地からの盗聴が可能になると述べている。

 Aharonovsky氏がデモ用に作成したページは現在無効になっているものの、同氏が公開しているデモ用ビデオでは、攻撃者によって巧妙に作成されたボタンがウェブページ上をあちこち動き回っている様子が示されている。実際にはマウスポインタの下にくるボタンは透明にされ、ユーザーには見えないようになっているだろう。Aharonovsky氏はバックグラウンドで、攻撃者がFlashのプライバシー設定を変更している様子を見せてくれている。Aharonovsky氏は「すべてのFlashやJava、Silverlight、DHTMLゲーム、アプリケーションにおいて同様のことが行えるということを心に留めて置いてほしい」と述べている。

 この問題(これに関連した特定の脆弱性は5〜6個存在している可能性がある)を利用した攻撃の対象となるブラウザは「Internet Explorer」(IE)や「Firefox」「Opera」「Safari」「Google Chrome」である。ブラウザ上でJavaScriptを無効化しても効果はない。この攻撃ではJavaScriptを利用する必要がないのである。Grossman氏は「クリックジャッキングはよく知られた問題であるものの、注目度があまりに低く、対策もほとんどとられていない」と述べている。

 AdobeはFlashのユーザーに対して、Adobe Flash Playerの「設定マネージャ」の「グローバルプライバシー設定」で「常に拒否」を指定するよう忠告している。これはつまり、ユーザーが該当設定を変更した後、カメラやマイクへのアクセスを許可するかどうかが問われなくなるということを意味している。Adobeによると、この問題への対策が施されたFlash Playerのアップデートは10月中にリリースされる予定だという。

 一方、Firefoxユーザーは「NoScript」プラグインの利用を検討し、iframeコンテンツを禁止する設定にしておくべきである。NoScriptにおいてこの攻撃を防ぐための設定に関する詳細はこのページを参照してほしい。

 また、その他のブラウザをセキュアにするためのUS-CERTによる助言はこのページを参照してほしい。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化