このところ「ライクジャッキング」と呼ばれる攻撃が話題になっている。筆者の近辺でも、友人がこの手口に引っかかり、隠しておきたいような情報が、利用しているソーシャルネットワーキングサービス(SNS)にプロフィールとして勝手に投稿されてしまった。今回はこの攻撃について解説しよう。
「ライクジャッキング」という言葉は、「クリック」と「ハイジャッキング」の合成語である「クリックジャッキング」から派生した表現だ。クリックジャッキングは以前から使われている手口だが、外部サイトのコンテンツを表示するWebサイトが増えるにつれてよく報道されるようになった。例えば今は、外部サイトで作られたテキストや画像などのコンテンツを表示したり、コンテンツとやり取りしたりするWebサイトが多い(関連記事:クリックジャッキング攻撃/正体が見えた「クリックジャッキング」/クリックジャッキングとは)。
Webページに特殊な細工を施すと、ユーザーのクリックで動き出すコンテンツを隠しておける。こうしたコンテンツは、偽ビデオや興味を抱く画像、「クリックして続ける」といったメッセージ、無料プレゼントといった表示で無害なものと思わせる。以下の図でこの攻撃の仕組みを説明しよう。最初のページは、ついクリックしたくなるデザインになっている。
次のページは一つ目と同じ内容だが、攻撃用のリンクが設けてある。ユーザーがこのリンクをクリックすると、悪質または困惑するようなコンテンツをSNSのプロフィールに投稿されたり、ログインしているほかのWebサイトで何らかの行動を起こされたりと、攻撃者の好きなようにされてしまう。
ただし、このリンクをクリックするのは無鉄砲かとても好奇心が強い人だけだろう。好奇心のせいで痛い目に遭うことは常識だ。そこで、Webページに以下の短いHTMLコードを入れてクリック対象を分かりにくくしてみた(一部コードは隠している)。
最初のWebページとよく似ていて完全に無害に思え、悪事の徴候は見当たらない。ところが以下のアニメーションを見ると、実際に何が行われているか理解できる。
この攻撃用リンクはWebページの「上層」を移動し、マウスポインターを追いかけるようになっている。つまりページ内のどこをクリックしても見えないリンクのわなにかかってしまう。
この種の攻撃を防ぐには、注意してWebブラウジングすることが大切だ。ただし、用心したところで効果は知れている。また、現在のWeb環境で重要な役割を担っているJavaScriptを完全に無効化することは非現実的だ。最近のWebブラウザは何らかのクリックジャッキング対策を導入しているものの、攻撃する側は絶えず回避方法を考えている。このような状況で何をしたらよいだろうか。優れた対策の一つとして、ホワイトリスト未掲載サイトでのスクリプト実行を妨げる「NoScript」などのWebブラウザ用アドオンを使う方法がある。こういったアドオンの多くは、クリックジャッキングを狙う行為の阻止に特化した機能を備え、定期的なアップデートで機能強化できる。すぐに対策しよう。
Copyrights (C) 2010 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆この記事は、シマンテックの許可を得て、米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は、「Clickjack Baddie Whack」でお読みいただけます。
