【セキュリティ】クリックジャックの脅威
数日前から気になってはいたことなんだけど、この段階の話がYahooニュースのトップに出るのも珍しい気がしたので、自分用のメモも兼ねて。
「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か - ITmedia NEWS
ユーザのクリックを乗っ取る「クリックジャック」 | スラド
簡単に説明すると、ほぼすべてのブラウザに、ユーザーがウィンドウ内の任意の場所をクリックするだけで特定の要素(リンク、ボタン、その他なんでも)をクリックしたことにしてしまう、というもの。
具体的な攻撃の例としては、オンラインバンクを開いて、普通の手順で先に進もうとしたら、実は偽ページに行っていた、とかいうこともありえてしまう。
で、この手法の恐ろしいところは、以下の3点にあるみたいで。
- 「ほとんどすべての」ブラウザで実行可能
- 原理的な部分では、JavaScriptが不要
- ブラウザ側での脆弱性への対処が、「非常に困難」
そういうことになっているせいで、本来ならばセキュリティイベントで発表されるはずだったものが、非公開になっているとか。
ブラウザとAdobe Flashの開発チームに情報を提供して、その修正が済むまで秘密ということらしい。
とはいえ、いくつかの断片的な情報から、攻撃の手法を推測しているひとも出てきているらしい。
わかっている情報としては、
- DHTMLを利用
- ブラウザのスクリプトとプラグインを無効にすれば、ある程度は回避できる
- IFRAMEを無効にしても、ある程度は回避できる
- FirefoxのNoScriptアドオンで、デフォルトの動作(スクリプト、Flash無効)にしていれば、ある程度は回避できる
DHTMLとか言ってることから、動的なコンテンツ生成に使えるスタイルのプロパティ(z-indexとかopacityとか)を使っているんじゃないか、と想像はできる。
スクリプト・プラグインを無効にすればある程度は、ということなら、スクリプトを使わなくても原理的には可能だけど、お手軽簡単にというわけにはいかないってことなんだろうし。
IFRAMEを無効〜のくだりはつまり、本物サイトに攻撃用IFRAMEを挿入して、そのIFRAMEの中の任意の要素をクリックするように書き換える攻撃があり得るということ。
個人的には、IEならインターネットゾーンの設定で常時スクリプトとActiveXをオフ/FirefoxならNoScriptを導入する理由が増えたかんじなんだけど。
逆にいえば、そういうことを知らない、普通のひとのリスクが増えたってことで。
この世界ぜんたいのセキュリティを上げることがどれだけ難しいのか、考えただけでぐんにょり。
「ネットでの脅威、脅威って言ってますけど、本当にそんなこと、起こってるんですか? まったくニュースなんかになりませんよね」
「ニュースにはなってるぞ。奇妙なことに、穴を開けていた利用者ではなく、穴を埋めるために努力をしていた運営者ばかりが叩かれるから、気づかれにくいだけでな」