「クリックジャッキング」というサイバー攻撃の手法をご存じでしょうか?
Webページ上にユーザーが視認できなかったり、他のページに偽装したリンクを仕込み、それをクリックさせることでユーザーに被害をもたらすものです。
現在はクリックジャッキングの回避方法も普及しつつありますが、その対策をも回避する新しい手法として「ダブルクリックジャッキング」と呼ばれるものが現れています。
ダブルクリックジャッキングはまだ知名度がそこまで多くないために対策も普及しておらず、被害を受けてしまう人が続出しています。
一体ダブルクリックジャッキングにはどのような手法が存在し、被害を避けるためにはどのような対策を取ればいいのかを、探偵目線から解説します。
目次 [ 閉じる ]
アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行なった際に認証情報を奪われてしまう具体的な方法を技術的に示している。
このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。
引用元:「ダブルクリック」を利用する新しく深刻な脅威、すべてのブラウザが攻撃対象 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
ダブルクリックジャッキングについて対策を打つ前に、そもそもクリックジャッキングとはどのようなものであるかを理解する必要があります。
従来型のクリックジャッキングの手法、およびその対策について解説します。
クリックジャッキングとは、Webサイト上にユーザーに見えない形でリンクを仕込み、そのリンクを意図せずアクセスさせようとする工作のことです。
このリンクを仕込んだ犯人はサイト運営者ではなく、サイトのシステムの脆弱性に漬け込んだ第三者による場合が多いです。
目的としては、アクセスすることでそのリンクを仕込んだ張本人に利する何かしらの目的があり、それを果たすためだと考えられます。
例えばあるWebページを開いた場合、そのWebページの表層部分にiframe(インラインフレーム)を用いて作成された、何も書かれていない透明なページが展開されているケースがあります。
普通にページを閲覧するだけではその透明なページの存在には気づけないので、透明なページにリンクを仕込んでおけばユーザーは意図せずに知らないリンクにアクセスしてしまうでしょう。
最悪の場合はこのリンクに個人情報を抜き取るウイルスが仕込まれており、不正アクセスからのサイバー攻撃に発展する可能性も考えられます。
そうでなくても広告リンクを踏まされたり、リンク先の閲覧数稼ぎに使われる場合もあり、深刻ではないにしても不愉快な思いを抱くケースもあるでしょう。
ユーザーの側から行なえるクリックジャッキングの有効な対策としては、Java ScriptやAdobe Flashを無効にして怪しいページを表示されないようにすることです。
スマートフォンであれば広告表示を制限するアプリの導入によって、透明なページを表示させない対策も有効です。
また、Webサイトの運営者側もiframeの書き換えを防ぐためのツールの導入で対策が可能になります。
こうした手法の拡大によって、従来型のクリックジャッキングへの対策が広まっていきました。
対策が広く知られるようになったクリックジャッキングですが、取って代わるように対策をかいくぐる新しい手法「ダブルクリックジャッキング」が登場しました。
従来の対策が通用しないダブルクリックジャッキングとは、どのようなものになるのでしょうか?
従来のクリックジャッキングは、対象のリンクをクリックさせるために誤ってアクセスしてしまうような構造を作る手法ですが、これはアクセスされなければ永久に目的は達成できなくなってしまいます。
その対策として、ユーザーがロボット判定で表示されるCAPTCHAを操作している際に、ダブルクリックを行なう一瞬のタイミングで攻撃プログラムを仕込んで個人情報を抜き取る手法が新たに生まれました。
安全な認証プログラムを操作していたのに、即座に有害なプログラムにアクセスさせられてしまうということです。
これにより、ユーザーは本人認証をしているつもりがいつの間にか個人情報を抜き取られてしまうことになります。
専門家は、ダブルクリックジャッキングの被害はほぼすべてのWebサイトに影響が及ぶものだと指摘しています。
また、ダブルクリックジャッキングへの具体的な対策は現時点でもまだ普及し切ってはいないため、まだ完全に防御する手立ては確立されてはいません。
そのため、どのブラウザを使用していてもダブルクリックジャッキングの被害を受ける可能性があるということです。
更に言えば、まだまだ有名ではない新しいサイバー攻撃の手法だからこそ、前のめりな対策の姿勢が見受けられない部分もあります。
今後、ダブルクリックジャッキングを応用すれば仮想通貨口座への攻撃も可能となり、預けていた資産を抜き取られてしまう被害も懸念されます。
また、現在はパソコンを使用する際の被害が顕著ですが、もしこの手法がスマートフォン向けに応用された場合、被害の拡大は更に加速する可能性が高いでしょう。
ダブルクリックジャッキングのような新たなサイバー攻撃は、個人情報の流出や経済的被害を引き起こす可能性があります。
被害を防ぐためには、技術的な対策だけでなく、攻撃の痕跡や手口を調査する専門家の力が重要です。
探偵事務所では、以下のようなサポートが可能です。
ご不安な方は、一人で悩まず、当探偵事務所の専門家にご相談ください。
監修者・執筆者 / 山内
1977年生まれ。趣味は筋トレで現在でも現場に出るほど負けん気が強いタイプ。得意なジャンルは、嫌がらせやストーカーの撃退や対人トラブル。監修者・執筆者一覧へ
Ranking
Copyright(C) ストーカー・嫌がらせ対策専門窓口. All Rights Reserved.
(C) ストーカー・嫌がらせ対策専門窓口