米US-CERTの情報

[画像のクリックで拡大表示]

　セキュリティ組織の米US-CERTは2008年9月26日、Webページ上でユーザーのクリックを乗っ取る「クリックジャッキング（Clickjacking）」と呼ばれる攻撃手法が報告されているとして注意を呼びかけた。Webページにおいて、意図しないリンクや画像をクリックさせられる危険性があるという。詳細については未公表。Internet Explorer（IE）やFirefoxなどの主要なブラウザーや、Adobe Flashなどのプラグインソフトに存在する脆弱（ぜいじゃく）性が原因。

　クリックジャッキングは、あるセキュリティ研究者2名が報告したもの。詳細は2008年9月22日から9月25日まで開催されたセキュリティ会議「OWASP NYC AppSec 2008 Conference」で発表される予定だったが、事前に脆弱性を知らされたメーカー側から対策（修正）するための猶予を求められ、発表は中止された。例えば米アドビシステムズでは、同社の公式ブログ上で、2名のセキュリティ研究者に対して謝辞を述べている。

　脆弱性の詳細は未公表だが、公表されている概要や報道などによれば、細工が施された攻撃者のWebページや、「わな」が仕掛けられた正規のWebページで特定のリンクなどをクリックしようとすると、実際にはそれとは異なるリンクなどをクリックさせられるという。

　また、今回の脆弱性はスクリプト（JavaScript）とは無関係としている。このため、Webブラウザーのスクリプト機能を無効にしても、脆弱性の影響をゼロにはできない。

　メーカー各社からは対策方法や修正パッチ（セキュリティ更新プログラム）などは一切公開されていない。メーカー各社が対策を施すまでは、脆弱性の詳細は公表されない可能性が高い。

　回避策は、Webブラウザーの設定変更など。根本的な解決策にはならないものの、スクリプトやプラグインを無効をすれば、攻撃パターンのいくつかを防げるため、リスクを軽減できるとしている。加えてFirefoxでは、「NoScript」プラグインを利用して「IFRAMEタグ」を禁止すれば、今回の攻撃に対して、さらに安全性を高められるという。

• 米US-CERTの情報