Tsugawa.TV

クリックジャッキング – 新たなブラウザに対する脅威

ZDNet Japanでは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、Adobe Flashなどを対象にした新たな恐ろしいブラウザに対する脅威「クリックジャッキング」に対する警告が、セキュリティ研究者によって発せられていると伝えています。

OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。

クリックジャックングとは、悪意あるWebサイトで攻撃者によりブラウザのリンクをコントロールされるというもので、この問題はゼロデイ脆弱性であって、すべてのブラウザに影響があるうえJavaScriptとは関係がないものだと指摘されています(DHTMLを使った攻撃とのこと)。つまりは、JavaScriptをオフにしても問題は解決されずに、さらに、ブラウザのコアに関わる欠陥で、簡単なパッチでは修正することができないというから事態はかなり悪いようです。
当面の間の唯一の対策は、ブラウザのスクリプト機能とプラグインを無効化することだと指摘しています。

また、クリックジャッキングの脅威への、FirefoxとNoScript(JavaScript、JavaScript、Java、Flashなどを制限できる拡張機能)の組み合わせの有効性について、NoScript開発者からの指摘によれば、NoScriptで100%の保護を得るためには、「Plugins|Forbid \」オプションをチェックする必要があるとのことです。
また、BreakingPointのTod Beardsley氏により、クリックジャッキングに関する憶測および概念実証コード(proof-of-concept)が示されています。