クリックジャッキング
X200届いた
明日19日の配達指定になってたが、先ほどX200が届いた。8日深夜の決済から数えて8営業日でのデリバリー。先週末のディスカウントクーポンは18,000円に下がってたので、我ながらいいタイミングで買ったね。
さて、書き忘れその1。昨年9月に報告された、クリックジャッキングという攻撃が心配されている。
読んで字の如く「クリックを乗っ取る」攻撃で、「見えないボタン」を置く事で利用者に気付かれることなくボタンを押させることができるという。
と文章で書いたところでよくわからんと思うので、どういう状況になるのかはYouTubeの動画でデモビデオ「Webcam ClickJacking」の例を見て頂くと、「Flash」のプライバシー設定が変更されてWebCamの画像が流れてしまう経緯がわかりやすいかと思う。
すでにアドビが「Flash Player」の「クリックジャッキング」回避策を発表し、セキュリティ情報APSA08-08でバージョン10.0.12.36、9.0.125.0以降へのアップデートを推奨しているが、事がFlashに限らずiframeな環境などブラウザの動作する仕組みに関わる根本的な欠陥で簡単なパッチでは修正することができない、幅広くて厄介な問題だ。
「Google Chrome」と「Firefox」にクリックジャッキングの危険をもたらす脆弱性はあるし、IE8のクリック・ジャッキング対策機能もまだ充分でないという話だ。ClearClick機能を実装したNoScriptが一番有効らしい。
参照
ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
- 「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か 2008年9月29日
- Adobe、クリック乗っ取り問題に対処 2008年10月16日
- Flash Player 9でもアップデート公開、XSSの脆弱性に対処 2008年11月7日
- 防止措置講じる:「クリックしてはいけない」――Twitterで横行する手口 2009年2月15日
ZDNet Japan http://japan.zdnet.com/
- クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 2008年9月27日
- Firefox + NoScript vs クリックジャッキング 2008年9月28日
- アドビ、「Flash Player」の「クリックジャッキング」回避策を発表 2008年9月28日
- Adobeがクリックジャッキング問題に対する対策を公開、NoScriptにはClearClick機能 2008年10月10日
- 「Google Chrome」と「Firefox」にクリックジャッキングの危険をもたらす脆弱性 2009年1月30日
日経ITpro http://itpro.nikkeibp.co.jp/
- 「クリックを乗っ取る」攻撃が報告、ほとんどのブラウザーに影響 2008年9月29日
- クリックジャッキング攻撃 2008年11月5日
- クリックジャッキング とは 2008年12月2日
- 正体が見えた「クリックジャッキング」 2008年12月11日
CNET Japan http://japan.cnet.com/
Computerworld.jp http://www.computerworld.jp/
- IE8のクリック・ジャッキング対策機能はほんとうに有効か 2009年1月28日
スラッシュドット・ジャパン http://slashdot.jp/
- AdobeやNoScriptからクリックジャッキング対策発表される 2008年10月13日
Adobe http://www.adobe.com/jp/
YouTube http://www.youtube.com/
- Webcam ClickJacking 2008年12月11日
Wikipedia http://ja.wikipedia.org/wiki/