誤操作を誘導する巧妙な攻撃手法「DoubleClickjacking」に要注意：セキュリティニュースアラート

Webサイト内の不正なリンクやボタンをクリックさせる攻撃手法クリックジャッキングの回避策が生み出されたものの、それをすり抜ける新たな攻撃手法「DoubleClickjacking」が登場した。

[後藤大地，有限会社オングス]

　セキュリティ業界では悪意のあるWebサイトにユーザーを誘導し、不正なリンクやボタンをクリックさせるクリックジャッキング（Clickjacking）と呼ばれる攻撃手法が広く知られている。

　10年以上前に登場したこの攻撃は近年のWebブラウザのSameSite属性の導入によってリスクが大幅に低減した。しかし、クリックジャッキングの防御策を回避する新たな攻撃手法「DoubleClickjacking」がセキュリティ研究者のパウロス・イベロ氏によって明らかにされた。

誤操作を誘導する巧妙な攻撃手法「DoubleClickjacking」に要注意

　DoubleClickjackingは従来の防御策を巧妙に回避し、多くのWebサービスに重大な影響を与える可能性がある。具体的には1回のクリックではなく2回の連続クリックを悪用することで、既存のクリックジャッキング防御策（X-Frame-OptionsヘッダやSameSiteクッキー設定など）を回避するとされている。

　DoubleClickjackingはタイミングとイベント順序の隙を突く攻撃とされている。攻撃の流れは以下の通りだ。

1. 攻撃者が用意したWebサイトにボタンを配置し、ボタンをクリックさせユーザーに新しいウィンドウを開かせる
2. 認証画面を模した偽のウィンドウが表示され、ユーザーにダブルクリックを促す。1回目のクリックでウィンドウが閉じ、2回目のクリックが攻撃者の意図した操作として利用される
3. このダブルクリック操作により、OAuth認証や重要な設定変更がユーザーの意図に反して実行される

　DoubleClickjackingは広範な影響を与えると考えられており、この新たな脅威への対策としてWebブラウザ側での標準化が提案されている。例えば「Double-Click-Protection: strict」のような特別なHTTPヘッダを導入することでダブルクリックシーケンスを利用した攻撃の制限が期待できる。