ダブルクリックは危険、新たなハック攻撃が確認される
アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。
被害者が画面上にあるCAPTCHAなどをクリックしているつもりのわずかな時間を突いて、実際にはログインやアカウント承認といった操作を承認させるわけだ。要するに、新たなウィンドウを開き、被害者にダブルクリックを促している間に、ハッカーが一瞬で別のウィンドウへコンテキストを切り替えてしまう。
筆者はアップル、グーグル、マイクロソフトにコメントを求めている。
ダブルクリックジャッキングとは何か?
旧来のクリックジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウェブページ要素をクリックさせるためにさまざまな手法を用いる攻撃だ。典型的には、iframe(ウェブページ内に別のページを埋め込む仕組み)を使い、不可視のHTML要素や完全に不可視のページ自体を重ねて表示させる。こうすると、ユーザーは目に見える要素をクリックしているつもりでも、実際にはその上にある不可視要素をクリックしていることになる。セキュリティ企業Impervaの研究者によると、かつてはlikejackingやcursorjackingといった派生手法も観測された。likejackingは、ユーザーが気づかないまま「いいね!」ボタンを押してしまうよう誘導するものであり、cursorjackingはインターフェースを偽装して、被害者が思っているカーソル位置と実際の位置をずらす手法だ。これらはすでに長年にわたって修正が進んでおり、主要ブラウザの保護によってクリックジャッキング自体はほぼ廃れたとされている。なお、自分のサイトが脆弱かどうかをテストする方法は今も存在し、OWASPのクリックジャッキング防御シートを参照する手段や、このページのコードを利用する方法がある。
