クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告

2008.09.29

　セキュリティ研究者が，すべての主要なデスクトッププラットフォームに影響のある，新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは，Microsoft Internet Explorer，Mozilla Firefox，Apple Safari，Opera，そしてAdobe Flashだ。

　この脅威は「クリックジャッキング」と呼ばれるもので，OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが，Adobeやその他の影響を受けるベンダーの要望で，包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。

　これを発見したのは，Robert Hansen氏とJeremiah Grossman氏という2人の研究者で，彼らはこの問題の深刻さを強調するために，いくつかの情報を公開している。

　では，クリックジャッキングとは実際にはどういうものなのだろうか。

　残念ながら，われわれが発見した問題の一部は，思ったよりもずっと悪いものだった。実際，あまりにも脅威が大きかったため，われわれは責任を持った情報開示をせざるを得ないと感じた。1つの問題が別の問題につながり，それがまた別の問題へとつながっている。すでに少なくとも2つのパッチが用意されており，まだ公開の日付は決まっていないが，他のベンダーもおそらくパッチを用意することと思われる。そして，われわれはまだ少数のベンダーとしか共同で作業をしていない。つまり・・・事態はかなり悪い。

　参加者が限定されていたOWASPの発表に参加していた人物によれば，この問題は確かにゼロデイ脆弱性で，すべてのブラウザに影響があり，しかもJavaScriptとは関係がないものだという。

　一言で言えば，悪意のあるウェブサイトに訪れた際，攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は，lynxなどを除いて，ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため，JavaScriptをオフにしても問題は解決しない。これは，ブラウザの動作する仕組みに関わる根本的な欠陥で，簡単なパッチでは修正することができない。この攻撃方法を使った場合，ユーザーが悪意のあるウェブページを訪れると，攻撃者はそのページ上のあらゆるリンク，ボタン，その他あらゆるものをユーザーには見せないままクリックすることができる。

（参照：Adobe Flash ads launching clipboard hijack attack）

　もしこれでもその怖さが分からなければ，平均的なエンドユーザーはクリックジャッキングを受けている間，なにが起こっているかまったく分からないだろうということを考えてみて欲しい。

　例えばeBayはこの攻撃に弱い。なぜなら，この攻撃にはJavaScriptを必要としないが，ウェブページにJavaScriptを組み込むこともできるためだ。「必要はないが，もっと簡単にする方法はたくさんある。」もし安全を確保したければ，lynxを使って動的なことは何もしないことだ。この攻撃では，フォームを埋めるようなこともできてしまう。この攻撃にはDHTMLを必要とする。（フレーム禁止コードを使って）フレームを使わせないようにすれば，クロスドメインのクリックジャッキングは防げるが，それでも攻撃者は彼らのページ内のあらゆるリンクを強制的にクリックさせることができる。ユーザーが一度クリックするたびに，1回クリックジャッキングを起こすことができるので，FLASHゲームのようなものはこの攻撃に最適だ。

　Hansen氏によれば，脅威のシナリオについてMicrosoftとMozillaの両方と議論し，両社はそれぞれ個別にこれが難しい問題であり，すぐに実現できる簡単な解決方法はないことに同意したという。

　Grossman氏はInternet Explorerの最新版（version 8を含む）とFirefox 3がこの問題の影響を受けることを認めた。