クリックジャッキング

クリックジャッキング^[1]^[2]^[3]とは、外見上は無害に見えるウェブページをクリックしている間にウェブ利用者をだまして秘密情報を露呈させる、あるいはウェブ利用者のコンピュータの支配を獲得する悪意の技術である^[4]。クリックジャック攻撃などとも呼ばれる。各種のウェブブラウザとプラットホームに渡る脆弱さを利用するクリックジャッキングは、例えば他の機能を実行する為のボタンをクリックするように埋め込まれたコードあるいはスクリプトの形態をしているため、利用者に気付かれることなく実行され得る^[5]。

クリックジャッキングはConfused deputy problem [1]の一例と理解することが出来る。このことはCapability-based securityを利用する潜在的な解決を意味する。権限あるボタンまたは情報を含んでいるページを機能させるためURLだけでアクセスできるならば、はっきりとページにアクセスする許可を与えられない限り、攻撃しているサイトはこのURLを知ることはない。クリックジャッキングはレイヤと透過性を提供するどんなテクノロジー・プラットフォームでも実行され得る。クリックジャッキングはソフトウェアのバグではなく一見無害なウェブ・ページの機能を利用して予期しない動作を起すことが可能である。クリックジャッキングは正式にはUI Redressingとして知られている。

クリックジャックされたページは利用者をだまし、隠されたリンクをクリックさせることで求めていない動作を実行させる。クリックジャックされたページでは攻撃者は偽ボタンを一式示し、透過レイヤに他のページを呼び出す。利用者は見えているボタンをクリックしていると思っているが実際は隠されたページの動作を実行している。隠されたページは認証のページの可能性もあり、それゆえ攻撃者は利用者をだまして利用者が決してするつもりのない行動を実行させることが可能であり、そして利用者が本当に別のページで認証されたため、後になってそのような行動の追跡調査を行う手段はない。

実例：利用者はいくつかの色分けされたボタンをクリックしなくてはならないゲームを行うが、別に一般サービスからのウェブ・メール・サイト認証ページがゲーム上の隠れたIFrameに呼び出される。IFrameの呼び出しは利用者がパスワードをその対応するサイトについて保存する場合だけである。ゲームのボタンはその位置がメール全部の選択とメール削除のボタンと一致するように決められる。その結果、単純なゲームをしながら利用者は彼のフォルダから全部のメールを知らずに削除する。知られている別の事例には既にアドビシステムズにより修正されたことだがAdobe Flashを通して利用者のWebカメラとマイクロフォンを支配するため利用者をだました行為、利用者をだましてそのソーシャル・ネットワーク用プロフィールを公けにさせた行為やTwitterで誰かに追従することを強いた行為などがある。

楽天オークションの1円オークションにて、クリックジャッキングが仕掛けられたサイトが見つかったという報告がある^[要出典]。
はてなブックマークにおいてログイン済みのユーザーを対象に、一見無関係なボタンを押すことによりユーザーの気づかないうちにソーシャルブックマークをしてしまうという想定のもとに、その構造を視覚的に理解することを可能としたデモンストレーションがはまちや2によって2009年3月に公開されている^[6]。

Mozilla Firefoxと他のGeckoベースのウェブブラウザのための具体的な防御は、そのClearClick機能[2]を介したNoScriptというアドオンにより提供される。他のウェブブラウザ利用者には代わりとなる防御手段はない^[7]。

脚注

^ Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
^ Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
^ Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
^ Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月8日閲覧。
^ Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
^ Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。
^ Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。

外部リンク

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[1] Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。

[2] Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。

[3] Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。

[4] Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月8日閲覧。

[5] Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。

[6] Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。

[7] Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

脚注

関連項目

外部リンク