クリックジャッキングとは何？

2008/09/30

1年以上前の記事です。内容が古い可能性があります。

今朝、通勤途中でJ-WAVEで聞いた言葉。さっそく検索してみる。

□クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告：ITpro

すべての主要なデスクトッププラットフォームに影響のある，新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは，Microsoft Internet Explorer，Mozilla Firefox，Apple Safari，Opera，そしてAdobe Flashだ。

Google Chromeが入っていないがおそらく出たばかりなので調べる時間がなかったのだろう。
つまりは、全ブラウザ（＋Flash）に影響のある脆弱性のようだ。

この問題は確かにゼロデイ脆弱性で，すべてのブラウザに影響があり，しかもJavaScriptとは関係がないものだという。

この攻撃にはDHTMLを必要とする。

まず最初に疑ったのが、JavaScript（ActionScript）だったのだが、それとは関係がなくHTMLかブラウザのエンジンあたりの脆弱性をついた攻撃のようだ。

で、どういったことが行われるかというと。

　一言で言えば，悪意のあるウェブサイトに訪れた際，攻撃者はブラウザ上のリンクをコントロールできるというものだ。

具体的には。

ウェブページにJavaScriptを組み込むこともできる
フォームを埋めるようなこともできてしまう。
ページ内のあらゆるリンクを強制的にクリックさせることができる。

しかも

これは，ブラウザの動作する仕組みに関わる根本的な欠陥で，簡単なパッチでは修正することができない。

とかなり深刻なようだ。

対策としては。

もし安全を確保したければ，lynxを使って動的なことは何もしないことだ。

lynxってのはテキストブラウザで、僕もユーザビリティを確認するときにたまに使っている。
□Lynx (ウェブブラウザ) – Wikipedia
ところが、ぶっちゃけlynxなんて使っていられない。
そこで、今のブラウザを安心して使い続けるためには

唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ。

これはこれで不便だ。

ただし、「ユーザーが悪意のあるウェブページを訪れると」とあるのがせめてもの救い。
つまり、悪意のあるウェブページにさえ訪れなければ大丈夫みたいだ。
子どもによく「知らない人について行っちゃいけません」っていうけど、
ネットでも知らない人からのメールについて行っちゃいけない。
知らないページに安易に足を運ぶなってことです。
でもそんなこと言われてもねぇ。。

- Webデザイン, セキュリティ

Comment

johnny より:

2008年10月1日 11:37 AM

確かに怖い脆弱性ですね…現段階では不明ですが、最近SQLinjectionなんかで情報を改竄する手口が蔓延しているとニュースなんかでみたので、もし普段見ているWebサイトがSQLinjectionの脆弱性を抱えていて、レイアウトなんかが全く変わっていない改竄されたWebページにclickjacking攻撃が仕掛けられている場合をかんがえると、やはり公表されるまでNO scriptで対応せざる終えないのかなぁ……

返信