誤操作を誘導する巧妙な攻撃手法「DoubleClickjacking」に要注意:セキュリティニュースアラート
Webサイト内の不正なリンクやボタンをクリックさせる攻撃手法クリックジャッキングの回避策が生み出されたものの、それをすり抜ける新たな攻撃手法「DoubleClickjacking」が登場した。
セキュリティ業界では悪意のあるWebサイトにユーザーを誘導し、不正なリンクやボタンをクリックさせるクリックジャッキング(Clickjacking)と呼ばれる攻撃手法が広く知られている。
10年以上前に登場したこの攻撃は近年のWebブラウザのSameSite属性の導入によってリスクが大幅に低減した。しかし、クリックジャッキングの防御策を回避する新たな攻撃手法「DoubleClickjacking」がセキュリティ研究者のパウロス・イベロ氏によって明らかにされた。
誤操作を誘導する巧妙な攻撃手法「DoubleClickjacking」に要注意
DoubleClickjackingは従来の防御策を巧妙に回避し、多くのWebサービスに重大な影響を与える可能性がある。具体的には1回のクリックではなく2回の連続クリックを悪用することで、既存のクリックジャッキング防御策(X-Frame-OptionsヘッダやSameSiteクッキー設定など)を回避するとされている。
DoubleClickjackingはタイミングとイベント順序の隙を突く攻撃とされている。攻撃の流れは以下の通りだ。
- 攻撃者が用意したWebサイトにボタンを配置し、ボタンをクリックさせユーザーに新しいウィンドウを開かせる
- 認証画面を模した偽のウィンドウが表示され、ユーザーにダブルクリックを促す。1回目のクリックでウィンドウが閉じ、2回目のクリックが攻撃者の意図した操作として利用される
- このダブルクリック操作により、OAuth認証や重要な設定変更がユーザーの意図に反して実行される
DoubleClickjackingは広範な影響を与えると考えられており、この新たな脅威への対策としてWebブラウザ側での標準化が提案されている。例えば「Double-Click-Protection: strict」のような特別なHTTPヘッダを導入することでダブルクリックシーケンスを利用した攻撃の制限が期待できる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2024年は大事件続きで世間のセキュリティ意識が変化? 編集部が選ぶ主要トピック
2024年には世間を大きく騒がせたランサムウェア被害やIT障害が発生しました。年の瀬恒例、「ITmedia エンタープライズ」編集部が特に印象的だと感じたセキュリティトピックを振り返ります。
「やるなら徹底的に攻撃せよ」 Googleレッドチームのリーダーが語った演習の価値
サイバー攻撃の手法が高度化・多様化する中、攻撃を疑似的に仕掛けることで防御力の強化を図るレッドチームの価値が高まっている。Googleレッドチーム担当者が演習を実施する際のコツや心構え、組織内でうまく信頼関係を築くポイントを語った。
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
ChatGPTは犯罪者たちの“良き相棒”に ダークWebで観測した生成AIの悪用事例8選
生成AIを悪用したサイバー犯罪は既に現実のものとなっている。では攻撃者はこれをどのように悪用するのか。本稿はダークWebで観測した具体的な8つの悪用事例を解説するとともに、今後起き得る13のAIリスクについても紹介する。