Webブラウザのタブがいつの間にか詐欺サイトに、新手の攻撃を実証

[ITmedia]

　Firefoxのクリエイティブを率いるエイザ・ラスキン氏は、Webブラウザのタブでユーザーが見ていたページをこっそり詐欺サイトに切り替え、ログイン情報を盗み出す新たな手口を報告している。同氏はこの攻撃を「タブナッピング」と名付け、解説・実証するページを公開した。

　この攻撃では、ユーザーが普段からアクセスしているWebサイトを閲覧した後にしばらくそのままにしておき、別のタブで別のWebサイトを見ている間に、攻撃者がJavaScriptを使って最初のサイトのお気に入りアイコンをGmailのアイコンにすり替えてしまう。すると、「Gmail: Email from Google」のタイトルを付けて、Gmailのログインページに見せかけた画面を表示することができてしまうという。

　多数のタブが開いていると、ユーザーはこの偽ページを見ても自分がGmailのタブを開いたままいつの間にかログアウトしてしまったと思い込み、このタブに戻ってGmailのユーザー名とパスワードを入力してしまう。URLを見れば正規のGmailサイトではないことが分かるが、大抵のユーザーは本物そっくりのログインページとアイコンを見てだまされてしまうという。

　攻撃者はユーザーのログイン情報を入手した後、ユーザーをGmailにリダイレクトさせてしまえば、ユーザーの目には正常にログインしたように見えてしまう。

　この攻撃はさまざまな技術を組み合わせて、Gmail以外でもユーザーが普段使っているWebサイト（例えばFacebook、Citibank、Twitterなど）や、そのWebサイトに現在ログインしているかどうかを攻撃者がチェックし、Webサイトのログイン画面とお気に入りアイコンに切り替えたり、ページの文言を書き換えるなど、さらに手の込んだ攻撃を仕掛けることが可能だという。

　ラスキン氏のWebサイトはこの攻撃を実証する仕掛けになっている。この攻撃について解説したページをFirefoxのタブで開いた後、一定時間別のタブを見ていると、その間にラスキン氏のページがGmailの偽ログインページに切り替わっていた。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら