編集部からのお知らせ
RPA導入、もう1つのポイント
「ニューノーマルとIT」新着記事一覧

Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能

文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-10-10 07:44

 最近の実際に動作するクリックジャッキングの概念実証コードの公開を追う形で、Adobeは同社が10月末にFlash Playerのパッチを公開するまでの間に、この問題を扱う必要のある顧客やIT管理者に対し、ソリューションを提供するセキュリティ勧告を公開した。

「われわれは、複数のウェブブラウザに存在している、攻撃者がウェブブラウザ利用者に知らない間にリンクやダイアログをクリックさせることを可能にする『クリックジャッキング』問題に関するレポートが公開されたことに対応し、セキュリティ勧告を公開したところだ。この潜在的なブラウザの『クリックジャッキング』問題は、Adobe Flash Playerのマイクやカメラへのアクセスダイアログに影響を及ぼす。この問題を軽減するFlash Playerのアップデートは、10月末までには提供される予定となっている。それまでの間、ユーザーは勧告に説明されている対策を講じることができる」

 少なくとも短期的には、予防は治療に勝るものだ。ちょうど公表されたばかりのNoScript v1.8.2.1は、ClearClick機能でそれを証明しようとしている

 もっとも具体的で野心的な機能は、ClearClickだ。これは、ユーザーが隠されていたり透明だったりその他の方法で偽装されている埋め込み要素と、マウスやキーボードから、クリックなど何らかの形で相互作用しようとする際、NoScriptがその相互作用が完了するのを防ぎ、本物を「明らか」にして表示する。この時点で、ユーザーはこれが本当に意図してクリックしようとしていた対象かどうかを評価し、この動作をロックしたままにしておくか、アンロックして自由に相互作用することを許すかを判断する。現在、マイクやウェブカメラをオンにして、ウェブを通じてスパイするという、クリックジャッキングのもっとも危険な利用方法が明らかになっているため、この機能は非常に便利なものとなるだろう。

 明らかなものだけをクリックし、2008年第4四半期の間、脆弱性の影響を受けないようにした方がいい。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    安全なテレワークや在宅勤務を担保する、DCセキュリティの新パラダイム

  2. コミュニケーション

    PC不要!自宅でも会議室でも即ミーティングが可能!脅威のシンプルさの秘密とは?

  3. クラウドコンピューティング

    【事例動画】顧客との“つながり”を創出し「モノ」から「コト」へと実現したIoT活用法とは

  4. セキュリティ

    セキュリティ侵害への対応は万全ですか?被害を最小限にとどめるための10のヒントを知る

  5. セキュリティ

    SANS「2020 CTI調査」が明かす、サイバー脅威インテリジェンスの最新動向

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]