ユーザーのクリップボードを乗っ取ることにより,悪意あるリンクを拡散させるWeb攻撃が確認された。Flashファイルを悪用し,クリップボードに悪意あるURLを強制的に書き込む(クリップボード・ハイジャック)ことで,メールなどからURLをコピーしてWebサイトにアクセスしようとするユーザーを不正サイトに誘導する(図1)。
図1●クリップボードを用いた不正サイトへの誘導トリック
図はFlashコンテンツを悪用した例。Action Scriptが稼働して,クリップボードを乗っ取られると,何をコピーしても不正サイトのURLをペーストするようになってしまう。
[画像のクリックで拡大表示]
クリップボードを狙う攻撃は以前からあるが,従来型の攻撃は,ユーザーがデータをコピーしたときにクリップボードに記録される情報を盗み取ることが目的だった。キーロガーやScreen Scrapersと同様に,ユーザーのアカウント情報や個人情報を詐取するものである。
しかし今回見つかった攻撃は,従来のものとはタイプが違う。動作は従来型の攻撃とは逆で,ユーザーのクリップボードを乗っ取り,攻撃者が意図した情報をクリップボードに書き込むのである。
JavaScriptでクリップボードを操作
従来のクリップボードに記録されたデータを狙った攻撃の多くは,前述のようにJavaScriptを利用する。例えば,写真1は海外のニュース・サイトに設置されたJavaScriptである。枠内にclipboardDataの文字列が確認できる。このサイトにアクセスすると,クリップボードの内容を詐取される。
写真1●クリップボードを操作するJavaScriptの例
写真は海外のニュース・サイトに設置されたもの。
