ところでクリックジャッキングって一体なに?

クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告ZDNet Japanより

セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。

この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。

これを発見したのは、Robert Hansen氏とJeremiah Grossman氏という2人の研究者で、彼らはこの問題の深刻さを強調するために、いくつかの情報を公開している

では、クリックジャックングとは実際にはどういうものなのだろうか

残念ながら、われわれが発見した問題の一部は、思ったよりもずっと悪いものだった。実際、あまりにも脅威が大きかったため、われわれは責任を持った情報開示をせざるを得ないと感じた。1つの問題が別の問題につながり、それがまた別の問題へとつながっている。すでに少なくとも2つのパッチが用意されており、まだ公開の日付は決まっていないが、他のベンダーもおそらくパッチを用意することと思われる。そして、われわれはまだ少数のベンダーとしか共同で作業をしていない。つまり・・・事態はかなり悪い。

このクリックジャッキングって詳細がよくわからないので、何ともよくわからない感じです。

どうも、相当ヤバイのは間違いなさそうです。

一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。これは、ブ
ラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。この攻撃方法を使った場合、ユーザーが悪意のあるウェブページ
を訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。 

この一言・・・今時lynxを使っているユーザーが、どのくらいいるのだろう?インターネットをはじめて使った頃に、利用した記憶がある程度です。当時はブラウザの選択肢も少なかったのです。パソコン通信の延長な感じでしたから。。。

詳細もわからずに勝手に要約すると。。。

ユーザーの意思では「まず踏まない」ようなリンク先を「踏ませる」攻撃?

と、思っております。

インターネットのキケンを説明するのに、ネットに繋がない!なんて、まず仕事をする上で不可能なこと。。。を、例え話でよく使います。

それは不可能なのだから、それなりのセキュリティ対策を(技術的にも、人的にも)するしかない!と。

しかし、この攻撃って「これ」が本当に必要なことかもしれません。

う〜ん、どの程度ヤバイのでしょうか?

詳細か、対策されたブラウザが早く欲しいですね。って言いながら、ブラウザからブログを投稿してます(爆)

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。