最近インターネット界では,「クリックジャッキング」(Clickjacking)と呼ばれる新たな攻撃手法が話題になっている(関連記事:「クリックを乗っ取る」攻撃が報告、ほとんどのブラウザーに影響)。
オンライン公開されていたセキュリティ会議「OWASP NYC AppSec 2008 Conference」のビデオで,Jeremiah Grossman氏とRobert “RSnake” Hansen氏が「New Zero-Day Browser Exploits――ClickJacking(Webブラウザの新たなゼロディ・エクスプロイト――クリックジャッキング)」と題するプレゼンテーションを実施し,クリックジャッキングというセキュリティ・ホールを報告した。このクリックジャッキングのデモンストレーションは,こちらのWebページにもある。
両氏はビデオでクリックジャッキングのごく一部分しか説明しなかったが,攻撃に関する基本的な知識を得るには十分だ。
例を使ってクリックジャッキングを説明する。攻撃者が「A」というWebページを持っており,このページには「B」というiframe要素がある。クリックジャッキング攻撃を行うには,CSSでB要素を透明に指定し,WebページA内で一番上位層の要素になるようz-indexプロパティ(重ね合わせの順序を指定するプロパティ)を設定する。同時に,WebページAを閲覧するユーザーがマウス・クリックしそうな場所にB要素のコンテンツが配置されるよう,B要素のサイズを拡大しておく。攻撃者は,好きな機能を割り当てたボタンを好きなだけB要素に配置できる。この際,Bに含まれるボタンの位置を,WebページAのボタンと合わせておかなければならない。この状態でユーザーがWebページA上のボタンをクリックすると,実際にはB要素のボタンがクリックされたことになる。ボタンのz-indexプロパティはWebページAより要素Bの方が上位層に設定されているからだ。クリックジャッキング攻撃はDHTMLの機能を悪用しており,JavaScriptを必要としない。そのため,Webブラウザの設定でJavaScriptを無効化しても攻撃から逃れられない。
クリックジャッキング攻撃は,さまざまなWebブラウザに対して機能する。現在のところWebブラウザ向け修正パッチはリリースされていないので,残念ながらユーザーが注意するしかない。利用者の多いリッチ・インターネット・アプリケーション(RIA)用プレーヤ「Adobe Flash Player」も,この攻撃の影響を受けることが分かっている。開発元の米アドビ・システムズはセキュリティ情報を出し,回避策(関連記事:アドビ、Flash Playerの「クリック乗っ取り」対策を公表)を公開した(訳注:同社はクリックジャッキング対策を施した新版を既にリリースしている。関連記事:「Flash Player 10」リリース、クリック乗っ取りやFirefoxバグを解消)。
我々は,今後もクリックジャッキング攻撃に関する新たな情報を収集していく。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Clickjacking」でお読みいただけます。
