「クリックジャッキング」というサイバー攻撃の手法をご存じでしょうか?
Webページ上にユーザーが視認できなかったり、他のページに偽装したリンクを仕込み、それをクリックさせることでユーザーに被害をもたらすものです。
現在はクリックジャッキングの回避方法も普及しつつありますが、その対策をも回避する新しい手法として「ダブルクリックジャッキング」と呼ばれるものが現れています。
ダブルクリックジャッキングはまだ知名度がそこまで多くないために対策も普及しておらず、被害を受けてしまう人が続出しています。
一体ダブルクリックジャッキングにはどのような手法が存在し、被害を避けるためにはどのような対策を取ればいいのかを、探偵目線から解説します。
目次 [ 閉じる ]
アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行なった際に認証情報を奪われてしまう具体的な方法を技術的に示している。
このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。
引用元:「ダブルクリック」を利用する新しく深刻な脅威、すべてのブラウザが攻撃対象 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
ダブルクリックジャッキングについて対策を打つ前に、そもそもクリックジャッキングとはどのようなものであるかを理解する必要があります。
従来型のクリックジャッキングの手法、およびその対策について解説します。
クリックジャッキングとは、Webサイト上にユーザーに見えない形でリンクを仕込み、そのリンクを意図せずアクセスさせようとする工作のことです。
このリンクを仕込んだ犯人はサイト運営者ではなく、サイトのシステムの脆弱性に漬け込んだ第三者による場合が多いです。
目的としては、アクセスすることでそのリンクを仕込んだ張本人に利する何かしらの目的があり、それを果たすためだと考えられます。
例えばあるWebページを開いた場合、そのWebページの表層部分にiframe(インラインフレーム)を用いて作成された、何も書かれていない透明なページが展開されているケースがあります。
普通にページを閲覧するだけではその透明なページの存在には気づけないので、透明なページにリンクを仕込んでおけばユーザーは意図せずに知らないリンクにアクセスしてしまうでしょう。
最悪の場合はこのリンクに個人情報を抜き取るウイルスが仕込まれており、不正アクセスからのサイバー攻撃に発展する可能性も考えられます。
そうでなくても広告リンクを踏まされたり、リンク先の閲覧数稼ぎに使われる場合もあり、深刻ではないにしても不愉快な思いを抱くケースもあるでしょう。
ユーザーの側から行なえるクリックジャッキングの有効な対策としては、Java ScriptやAdobe Flashを無効にして怪しいページを表示されないようにすることです。
スマートフォンであれば広告表示を制限するアプリの導入によって、透明なページを表示させない対策も有効です。
また、Webサイトの運営者側もiframeの書き換えを防ぐためのツールの導入で対策が可能になります。
こうした手法の拡大によって、従来型のクリックジャッキングへの対策が広まっていきました。
対策が広く知られるようになったクリックジャッキングですが、取って代わるように対策をかいくぐる新しい手法「ダブルクリックジャッキング」が登場しました。
従来の対策が通用しないダブルクリックジャッキングとは、どのようなものになるのでしょうか?
従来のクリックジャッキングは、対象のリンクをクリックさせるために誤ってアクセスしてしまうような構造を作る手法ですが、これはアクセスされなければ永久に目的は達成できなくなってしまいます。
その対策として、ユーザーがロボット判定で表示されるCAPTCHAを操作している際に、ダブルクリックを行なう一瞬のタイミングで攻撃プログラムを仕込んで個人情報を抜き取る手法が新たに生まれました。
安全な認証プログラムを操作していたのに、即座に有害なプログラムにアクセスさせられてしまうということです。
これにより、ユーザーは本人認証をしているつもりがいつの間にか個人情報を抜き取られてしまうことになります。
専門家は、ダブルクリックジャッキングの被害はほぼすべてのWebサイトに影響が及ぶものだと指摘しています。
また、ダブルクリックジャッキングへの具体的な対策は現時点でもまだ普及し切ってはいないため、まだ完全に防御する手立ては確立されてはいません。
そのため、どのブラウザを使用していてもダブルクリックジャッキングの被害を受ける可能性があるということです。
更に言えば、まだまだ有名ではない新しいサイバー攻撃の手法だからこそ、前のめりな対策の姿勢が見受けられない部分もあります。
今後、ダブルクリックジャッキングを応用すれば仮想通貨口座への攻撃も可能となり、預けていた資産を抜き取られてしまう被害も懸念されます。
また、現在はパソコンを使用する際の被害が顕著ですが、もしこの手法がスマートフォン向けに応用された場合、被害の拡大は更に加速する可能性が高いでしょう。
ダブルクリックジャッキングのような新たなサイバー攻撃は、個人情報の流出や経済的被害を引き起こす可能性があります。
被害を防ぐためには、技術的な対策だけでなく、攻撃の痕跡や手口を調査する専門家の力が重要です。
探偵事務所では、以下のようなサポートが可能です。
ご不安な方は、一人で悩まず、当探偵事務所の専門家にご相談ください。
監修者・執筆者 / 山内
1977年生まれ。趣味は筋トレで現在でも現場に出るほど負けん気が強いタイプ。得意なジャンルは、嫌がらせやストーカーの撃退や対人トラブル。監修者・執筆者一覧へ
Ranking
不安の正体は「異常」ではなく、情報不足による思考の暴走です。
反論よりも「事実整理」が誤解を止めます。
騒音は感覚ではなく、記録で判断します。
不安は「違法か合法か」を知ることで減らせます。
感情と事実を分けないと、問題は長引きます。
証明は「感覚」ではなく「積み重ね」です。
心理を知らずに対処すると逆効果になります。
単独犯と決めつけると見誤ります。
「監視か不安か」を切り分けることが第一歩です。
状況に合わない対処は危険です。
まずは「本当に侵害されているか」を確認します。
iPhoneは「症状の見極め」が重要です。
思い込みと事実を分けることが第一歩です。
原因は一つとは限りません。
知らないと見逃します。
感情対応より「削除と証拠」が優先です。
放置せず、記録と相談が回復の第一歩です。
初動対応で被害の広がりは変わります。
調べられること・調べられないことがあります。
技術を知ることが最大の防御になります。
被害相談で多く見られる傾向や背景を整理し、「なぜ起きたのか」を考える視点を解説。
職場や日常で問題になりやすいハラスメントの種類と特徴を一覧で整理。
いじめの類型を整理し、状況に応じた相談先の考え方をまとめています。
無自覚に起こりやすい言葉のハラスメントを具体例で整理。
職場以外で起こりやすいハラスメントの特徴や考え方を解説。
ストーカー・嫌がらせ対策専門窓口ホットラインは24時間受付ております。電話相談は何度でも無料です。
ご相談の段階では匿名でのご相談が可能です。調査が必要かわからない方も気軽にお問合せ下さい。
Copyright(C) ストーカー・嫌がらせ対策専門窓口. All Rights Reserved.
(C) ストーカー・嫌がらせ対策専門窓口
MENU