容量 電圧 製品一覧
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
数億人のウェブユーザーが、新たに発見された危険なサイバー攻撃について警告を受けている。この攻撃はブラウザの種類を問わず、「ダブルクリック」さえすれば成立してしまう。以下に、「ダブルクリックジャッキング(ダブルクリックジャック攻撃)」について知っておくべきポイントをまとめる。
ダブルクリックは危険、新たなハック攻撃が確認される
アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。
このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。
被害者が画面上にあるCAPTCHAなどをクリックしているつもりのわずかな時間を突いて、実際にはログインやアカウント承認といった操作を承認させるわけだ。要するに、新たなウィンドウを開き、被害者にダブルクリックを促している間に、ハッカーが一瞬で別のウィンドウへコンテキストを切り替えてしまう。
筆者はアップル、グーグル、マイクロソフトにコメントを求めている。
ダブルクリックジャッキングとは何か?
旧来のクリックジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウェブページ要素をクリックさせるためにさまざまな手法を用いる攻撃だ。典型的には、iframe(ウェブページ内に別のページを埋め込む仕組み)を使い、不可視のHTML要素や完全に不可視のページ自体を重ねて表示させる。こうすると、ユーザーは目に見える要素をクリックしているつもりでも、実際にはその上にある不可視要素をクリックしていることになる。
セキュリティ企業Impervaの研究者によると、かつてはlikejackingやcursorjackingといった派生手法も観測された。likejackingは、ユーザーが気づかないまま「いいね!」ボタンを押してしまうよう誘導するものであり、cursorjackingはインターフェースを偽装して、被害者が思っているカーソル位置と実際の位置をずらす手法だ。これらはすでに長年にわたって修正が進んでおり、主要ブラウザの保護によってクリックジャッキング自体はほぼ廃れたとされている。なお、自分のサイトが脆弱かどうかをテストする方法は今も存在し、OWASPのクリックジャッキング防御シートを参照する手段や、このページのコードを利用する方法がある。
ダブルクリックジャッキングが危険な理由
イベロによれば、「わずかな違いに見えるかもしれませんが、ダブルクリックジャッキングは既存のクリックジャッキングの防御をすべて回避する新たなUI操作攻撃で、ほぼすべてのウェブサイトに影響し得るのです」という。さらに以下の理由により危険性が高いと指摘している。
・既存のクリックジャッキング対策を回避できる
・暗号資産ウォレットやスマートフォンへの攻撃にも応用可能
・ハッカーにとって新たな攻撃面を提供する
・あらゆるウェブサイトがデフォルトで脆弱
・被害者はダブルクリックするだけで攻撃が成立する
ダブルクリックジャッキングの手口
ダブルクリックジャッキングの手口を詳細に解説したブログ記事の中で、イベロは攻撃者がこの手口をどのように悪用できるかの例を2つ挙げている。
1つは、OAuth(Open Authorization、異なるサイト間でユーザー認証を安全に行うための業界標準プロトコル)とAPI(Application Programming Interface、アプリケーション間で情報をやり取りする仕組み)の権限を悪用するケースだ。
OAuthは、アプリケーションやウェブサイトが、別のサイトでホストされているリソースに、別のユーザーに関連してアクセスできるようにするプロトコルだ。OAuthは、これを行うための業界標準の安全な方法……のはずだった。「攻撃者は、広範な権限を持つ悪意のあるアプリケーションを承認するようターゲットを欺く可能性がある」とイベロ氏は警告する。「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」
もう1つとして、イベロはワンクリックでのアカウント変更攻撃を挙げている。これは、ダブルクリックジャッキングが「セキュリティ設定の無効化、アカウントの削除、アクセス許可や送金、トランザクションの確認など、アカウント設定の変更をユーザーにクリックさせるために利用できる」という点で、クリックジャッキングと類似している。
イベロは「ダブルクリックジャッキングは、よく知られた攻撃にちょっとした手品を加えたようなものです。クリック間のタイミングを悪用することで、攻撃者は無害なUI要素と機密性の高いUI要素を瞬く間にシームレスに置き換えることができます」という。これは、開発者やセキュリティチームが、埋め込みウィンドウやポップアップウィンドウの制御を強化し、マルチクリックパターンなどの挙動に対してより警戒する必要があることを意味する。
攻撃の進化が防御側にもたらす課題
当然のことながら、このダブルクリックジャッキングの悪用に関する報道は、ユーザーとサイバーセキュリティ専門家の間で大きな懸念を引き起こしている。
コンテンツ管理とネットワークセキュリティベンダーであるSonicWallのエグゼクティブ・バイス・プレジデント、スペンサー・スターキーは、「過去1年間でランサムウェアやマルウェアがわずかに減少したからといって、油断すべきではありません。ハッカーは単に戦術を変えただけなのです」と述べている。
サイバー攻撃が常に進化していることは疑いようがなく、Forbes.comに私が書いている記事や、非常に多くの人々が被害に遭っている不正行為がその証拠だ。「新たな攻撃が作成される速度が速いため、より適応力が高く、検出が困難になっている。これはサイバーセキュリティ専門家にとってさらなる課題となります」とスターキーは言う。
経営層の視点から見ると、これはネットワーク上の不審な活動を常に監視する必要があることを意味する。「チームが潜在的な問題をいち早く特定できれば、攻撃のリスクを低減できます」とスターキーは結論づける。
攻撃への対策に関してイベロは、「私はこの問題をいくつかのサイトに報告しましたが、その結果はまちまちでした。ほとんどのサイトが対処することを選択しましたが、そうでないサイトもありました」と述べている。
エンドユーザーへのアドバイスとしては、現時点では、ブラウザ自身による緩和策が利用可能になるまで、この新たなハッキング攻撃の被害に遭わないようにするために安易なダブルクリックは避けるべきということだ。
