ところでクリックジャッキングって一体なに?

クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告ZDNet Japanより

セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。

この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。

これを発見したのは、Robert Hansen氏とJeremiah Grossman氏という2人の研究者で、彼らはこの問題の深刻さを強調するために、いくつかの情報を公開している

では、クリックジャックングとは実際にはどういうものなのだろうか

残念ながら、われわれが発見した問題の一部は、思ったよりもずっと悪いものだった。実際、あまりにも脅威が大きかったため、われわれは責任を持った情報開示をせざるを得ないと感じた。1つの問題が別の問題につながり、それがまた別の問題へとつながっている。すでに少なくとも2つのパッチが用意されており、まだ公開の日付は決まっていないが、他のベンダーもおそらくパッチを用意することと思われる。そして、われわれはまだ少数のベンダーとしか共同で作業をしていない。つまり・・・事態はかなり悪い。

このクリックジャッキングって詳細がよくわからないので、何ともよくわからない感じです。

どうも、相当ヤバイのは間違いなさそうです。

一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。これは、ブ
ラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。この攻撃方法を使った場合、ユーザーが悪意のあるウェブページ
を訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。 

この一言・・・今時lynxを使っているユーザーが、どのくらいいるのだろう?インターネットをはじめて使った頃に、利用した記憶がある程度です。当時はブラウザの選択肢も少なかったのです。パソコン通信の延長な感じでしたから。。。

詳細もわからずに勝手に要約すると。。。

ユーザーの意思では「まず踏まない」ようなリンク先を「踏ませる」攻撃?

と、思っております。

インターネットのキケンを説明するのに、ネットに繋がない!なんて、まず仕事をする上で不可能なこと。。。を、例え話でよく使います。

それは不可能なのだから、それなりのセキュリティ対策を(技術的にも、人的にも)するしかない!と。

しかし、この攻撃って「これ」が本当に必要なことかもしれません。

う〜ん、どの程度ヤバイのでしょうか?

詳細か、対策されたブラウザが早く欲しいですね。って言いながら、ブラウザからブログを投稿してます(爆)

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。

13 thoughts on “ところでクリックジャッキングって一体なに?

  1. sumimotoshohei より:

    関係は不明ですが、ブラウザで書き込んだまたはコピーした文字列の一部を含む URL (実在せず)に飛ぼうとしたことがこの二日で 2 回、コピーした文字列を含む実在するサイトに飛んだのが 1 回。明らかに、 DNS 汚染とは違います。関係があるかもしれないので、情報が欲しいです。

  2. sumimotoshohei より:

    朝之丞 さん
    自分の事例を改変してもう少し具体的にかいておきます。
    あくまでも、現段階では、自分の事例が今回の件と関係あるかどうか不明です。
    例えば、この CNET のコメントを、メモ帳で書いて、コピペしてコメントにします。
    そのあと、他のブロガーの方の記事を閲覧、記事中のリンクを別タブで開きます。
    そのリンク先の中にあった別のリンクをさらに開こうとしました(今度は別タブでなく)。
    その時にブラウザーが開こうとしたのが、たとえば、
    http://www.関係は不明ですが、ブラウザで書き込んだまたはコピーした文字列の一部を含(中略).com
    のように、過去のコメントの一部を含む、存在しないサイトに飛ぼうとしました。
    サイトが実在した事例でも、同様の操作でした。

  3. 朝之丞 より:

    新倉さん、sumimotoshoheiさん
    私も新作Security softのTry and Tested中「危ない系」に行って且つリダイレクトでIE7の音がして(何回も)行った先で、クリックしていないのに音が…orz(つい最近です)これ関係有りますかね?

  4. korly より:

    ・アフィリエイト
    ・DDoS
    ・ブラクラ
    思い付くのはこれくらいでしょうか。
    もしもポップアップで出てきたダウンロード確認の『はい』ボタンまでコントロールされていたら、知らないうちにDirectX入れられたりしてしまうかもしれませんね。

  5. 新倉 茂彦 より:

    sumimotoshoheiさん、コメントありがとうございます。
    >明らかに、 DNS 汚染とは違います。
    なるほど。。。既に体験済みなのですね。
    どんなところに飛ばすのでしょうね?飛んだ先がクリックせずに飛んで、クリックと同じ効果があれば「何か得」をするはずです。
    攻撃であれば、飛んだ先が”とんでもないこと”になりますね。
    相当広範囲な、強力最悪DDOSにしか思えないです。
    いずれにしても、実態がわからないのは、イヤですね。

  6. sumimotoshohei より:

    なるほどそうかもですね。
    clipboard hijack attack と言う言葉を含むリンクが、新倉さんの原文からたどれる模様ですが、外国語なので、日本語ばかり読んでいる自分には読めません。

  7. ルート134 より:

    不正なスクリプトだか、アクソティブ×だか分かりませんが、クリップボード領域を飛ばせたいサイト名のワークに使われているのでは?
    //

  8. 新倉 茂彦 より:

    みなさま、コメントありがとうございます。
    >・アフィリエイト・DDoS・ブラクラ
    korlyさんの仰る通りだと思います。
    何かの意図があるはずです。ピンポイントか分散かですね。分散であればテロとも言えるかもしれないですね。
    朝之丞さん、同じく再現されたのですね。コントロール不能な「Try and Tested」ですね(笑)。私はまだ、再現出来てません。
    やり方がダメなのでしょうか?
    sumimotoshoheiさん、詳細状況ありがとうございます。
    この挙動。。。かなりアヤシイですね。単に見えないリンク先に飛ばされるだけだと思っていました。
    引き続き、要ウォッチですね。

  9. sumimotoshohei より:

    朝之丞さん
    同じ症状の経験者がいらっしゃることを確認でき、少し安心しましたが、 korly さんの書かれたことも気になっています。
    現在、「セキュリティーホール memo 9 月 29 日」の記述を参考にし、Firefox は noscript でガチガチにし、他のブラウザは、スクリプト等全て切った上で、設定を、「 iframe 」 切りにして試しています。
    昨日は、一日、当該症状は出ませんでした。これでも症状が再現するようなら、またコメントを追記します。

  10. 朝之丞 より:

    説明不足でしたので追記させて頂きます。
    直前のコメントで
    >www.朝之丞.com
    などは存在しないので、その旨のメッセージが表示されます。
    コメント4での
    >クリックしていないのに音が
    も最近出る様になりました。

  11. 朝之丞 より:

    sumimotoshoheiさん
    >http://www.関係は不明ですが、ブラウザで書き込んだまたはコピーした文字列の一部を含(中略).com
    のように、過去のコメントの一部を含む、存在しないサイトに飛ぼうとしました。
    ビンゴ! です。
    その症状は、私も出ています。ググった後、とあるURLをクリックしたらその前にググった検索キーワード、例えば「朝之丞」としますが、www.朝之丞.com とか出た時があります。

  12. sumimotoshohei より:

    どうもありがとうございます。
    自分もデモサイトの動作確認出来ました。
    自分からも、朝之丞さんに期待して良いでしょうか?

  13. 新倉 茂彦 より:

    ルート134さん、コメントありがとうございます。
    >クリップボード領域を・・・
    どうもそのようです。
    sumimotoshoheiさん
    すみません。原文をちゃんと読んでませんでした。
    拙い英語能力で読んでみました。
    クリップボードの乗っ取りでした。
    原文に、デモがありました。「proof-of-concept demo」ってやつです。リンクは張りませんので、原文からリンクしてみてください。とりあえず踏んでみました。これで私も再現できました。
    ちなみにF-Secure2009では「反応」しました。
    Trojan-Downloader:JS/Agent.CTKってので、HITしました(笑)
    &アヤシイサイトのURLがクリップボードに残ってました。
    クリップボードの履歴ツールを使っているのですが、止めずにやったら、止められなくなり、強制終了しました。CPU90%くらいまで行っちゃいました。再起動後に止めてからやったら、上記のようになりました。
    この先は、朝之丞さんの「Try and Tested」でやっていただくしか・・・「方法はない」と思います(笑)

この投稿はコメントできません。