アドビ、「Flash Player」の「クリックジャッキング」回避策を発表

文:Robert Vamosi(CNET News.com) 翻訳校正:編集部 2008年10月09日 15時43分

  • このエントリーをはてなブックマークに追加

 Adobeは米国時間10月7日、攻撃者が「Flash」のセキュリティ設定を変更できるという重大な問題に対する回避策を発表した。

 WhiteHat Securityの最高技術責任者(CTO)であるJeremiah Grossman氏が9月にブログに投稿した内容によると、「クリックジャッキング(clickjacking)」という言葉は、「攻撃者がユーザーをだまし、ほとんど気付かないか、気付くチャンスが一瞬しかないような何かをクリックさせるような攻撃手法」に付けられた名前であるという。また同氏は、「クリックジャッキングへの対策は主としてブラウザベンダーの双肩にかかっている」と述べたものの、自身とRobert Hansen氏は協議のうえで、これ以上の詳細情報の公開を控えるとともに、最近開催された「OWASP NYC AppSec 2008 Conference」で行う予定だった討論もAdobeからの要請により中止したと述べている。Adobeは両氏に対して謝意を表明している。

 簡単に言えば、この攻撃では、悪意をもって作成されたウェブページ上に埋め込まれたオブジェクトが使用される。攻撃者はフレーム化されたコンテンツ、Flashや「Silverlight」「Java」を用いたコンテンツを使用することで、マウスポインタの下に透明な、つまり目に見えないボタンを配置することで、ユーザーがページ上の何かをクリックすると(例えば、Googleの検索結果で次ページを見るためのリンクをクリックすると)、悪意のあるコードを含んだ見えないウェブサイトもクリックされるように仕組むのである。またこの攻撃では、自身を偽装するためにダイナミックHTML(DHTML)やCSS(Cascading Style Sheets)を利用することも考えられる。

 Guy Aharonovsky氏はブログで、クリックジャッキングの手法を用いてFlashのセキュリティ設定を変更し、PCのウェブカムやマイクを乗っ取るプロセスを説明している。同氏は、これによって遠隔地からの盗聴が可能になると述べている。

 Aharonovsky氏がデモ用に作成したページは現在無効になっているものの、同氏が公開しているデモ用ビデオでは、攻撃者によって巧妙に作成されたボタンがウェブページ上をあちこち動き回っている様子が示されている。実際にはマウスポインタの下にくるボタンは透明にされ、ユーザーには見えないようになっているだろう。Aharonovsky氏はバックグラウンドで、攻撃者がFlashのプライバシー設定を変更している様子を見せてくれている。Aharonovsky氏は「すべてのFlashやJava、Silverlight、DHTMLゲーム、アプリケーションにおいて同様のことが行えるということを心に留めて置いてほしい」と述べている。

 この問題(これに関連した特定の脆弱性は5〜6個存在している可能性がある)を利用した攻撃の対象となるブラウザは「Internet Explorer」(IE)や「Firefox」「Opera」「Safari」「Google Chrome」である。ブラウザ上でJavaScriptを無効化しても効果はない。この攻撃ではJavaScriptを利用する必要がないのである。Grossman氏は「クリックジャッキングはよく知られた問題であるものの、注目度があまりに低く、対策もほとんどとられていない」と述べている。

 AdobeはFlashのユーザーに対して、Adobe Flash Playerの「設定マネージャ」の「グローバルプライバシー設定」で「常に拒否」を指定するよう忠告している。これはつまり、ユーザーが該当設定を変更した後、カメラやマイクへのアクセスを許可するかどうかが問われなくなるということを意味している。Adobeによると、この問題への対策が施されたFlash Playerのアップデートは10月中にリリースされる予定だという。

 一方、Firefoxユーザーは「NoScript」プラグインの利用を検討し、iframeコンテンツを禁止する設定にしておくべきである。NoScriptにおいてこの攻撃を防ぐための設定に関する詳細はこのページを参照してほしい。

 また、その他のブラウザをセキュアにするためのUS-CERTによる助言はこのページを参照してほしい。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]