ダブルクリックジャッキングが危険な理由
イベロによれば、「わずかな違いに見えるかもしれませんが、ダブルクリックジャッキングは既存のクリックジャッキングの防御をすべて回避する新たなUI操作攻撃で、ほぼすべてのウェブサイトに影響し得るのです」という。さらに以下の理由により危険性が高いと指摘している。advertisement
・既存のクリックジャッキング対策を回避できる
・暗号資産ウォレットやスマートフォンへの攻撃にも応用可能
・ハッカーにとって新たな攻撃面を提供する
・あらゆるウェブサイトがデフォルトで脆弱
・被害者はダブルクリックするだけで攻撃が成立する
ダブルクリックジャッキングの手口
ダブルクリックジャッキングの手口を詳細に解説したブログ記事の中で、イベロは攻撃者がこの手口をどのように悪用できるかの例を2つ挙げている。1つは、OAuth(Open Authorization、異なるサイト間でユーザー認証を安全に行うための業界標準プロトコル)とAPI(Application Programming Interface、アプリケーション間で情報をやり取りする仕組み)の権限を悪用するケースだ。
OAuthは、アプリケーションやウェブサイトが、別のサイトでホストされているリソースに、別のユーザーに関連してアクセスできるようにするプロトコルだ。OAuthは、これを行うための業界標準の安全な方法……のはずだった。「攻撃者は、広範な権限を持つ悪意のあるアプリケーションを承認するようターゲットを欺く可能性がある」とイベロ氏は警告する。「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」
advertisement
もう1つとして、イベロはワンクリックでのアカウント変更攻撃を挙げている。これは、ダブルクリックジャッキングが「セキュリティ設定の無効化、アカウントの削除、アクセス許可や送金、トランザクションの確認など、アカウント設定の変更をユーザーにクリックさせるために利用できる」という点で、クリックジャッキングと類似している。
