新たなサイバー攻撃「ダブルクリックジャッキング」が発見され、数億人のウェブユーザーに危険が及んでいます。この攻撃はブラウザの種類を問わず、単にダブルクリックするだけで成立。セキュリティ研究者パウロス・イベロ氏が指摘したこの脅威は、多くの脆弱性を突いています。
1樽悶 ★2025/01/11(土) 18:37:50.43ID:cTINflOI9
数億人のウェブユーザーが、新たに発見された危険なサイバー攻撃について警告を受けている。この攻撃はブラウザの種類を問わず、「ダブルクリック」さえすれば成立してしまう。以下に、「ダブルクリックジャッキング(ダブルクリックジャック攻撃)」について知っておくべきポイントをまとめる。
■ダブルクリックは危険、新たなハック攻撃が確認される
アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。
このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。
被害者が画面上にあるCAPTCHAなどをクリックしているつもりのわずかな時間を突いて、実際にはログインやアカウント承認といった操作を承認させるわけだ。要するに、新たなウィンドウを開き、被害者にダブルクリックを促している間に、ハッカーが一瞬で別のウィンドウへコンテキストを切り替えてしまう。
筆者はアップル、グーグル、マイクロソフトにコメントを求めている。
■ダブルクリックジャッキングとは何か?
旧来のクリックジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウェブページ要素をクリックさせるためにさまざまな手法を用いる攻撃だ。典型的には、iframe(ウェブページ内に別のページを埋め込む仕組み)を使い、不可視のHTML要素や完全に不可視のページ自体を重ねて表示させる。こうすると、ユーザーは目に見える要素をクリックしているつもりでも、実際にはその上にある不可視要素をクリックしていることになる。
(省略)
イベロによれば、「わずかな違いに見えるかもしれませんが、ダブルクリックジャッキングは既存のクリックジャッキングの防御をすべて回避する新たなUI操作攻撃で、ほぼすべてのウェブサイトに影響し得るのです」という。さらに以下の理由により危険性が高いと指摘している。
・既存のクリックジャッキング対策を回避できる
・暗号資産ウォレットやスマートフォンへの攻撃にも応用可能
・ハッカーにとって新たな攻撃面を提供する
・あらゆるウェブサイトがデフォルトで脆弱
・被害者はダブルクリックするだけで攻撃が成立する
■ダブルクリックジャッキングの手口
ダブルクリックジャッキングの手口を詳細に解説したブログ記事の中で、イベロは攻撃者がこの手口をどのように悪用できるかの例を2つ挙げている。
1つは、OAuth(Open Authorization、異なるサイト間でユーザー認証を安全に行うための業界標準プロトコル)とAPI(Application Programming Interface、アプリケーション間で情報をやり取りする仕組み)の権限を悪用するケースだ。
OAuthは、アプリケーションやウェブサイトが、別のサイトでホストされているリソースに、別のユーザーに関連してアクセスできるようにするプロトコルだ。OAuthは、これを行うための業界標準の安全な方法……のはずだった。「攻撃者は、広範な権限を持つ悪意のあるアプリケーションを承認するようターゲットを欺く可能性がある」とイベロ氏は警告する。「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」
もう1つとして、イベロはワンクリックでのアカウント変更攻撃を挙げている。これは、ダブルクリックジャッキングが「セキュリティ設定の無効化、アカウントの削除、アクセス許可や送金、トランザクションの確認など、アカウント設定の変更をユーザーにクリックさせるために利用できる」という点で、クリックジャッキングと類似している。
ランサムウェアなどが減少したからといって油断すべきではない。ハッカーは戦術を変えただけなのだ(以下ソース)
1/6(月) 17:00配信
■ダブルクリックは危険、新たなハック攻撃が確認される
アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。
このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。
被害者が画面上にあるCAPTCHAなどをクリックしているつもりのわずかな時間を突いて、実際にはログインやアカウント承認といった操作を承認させるわけだ。要するに、新たなウィンドウを開き、被害者にダブルクリックを促している間に、ハッカーが一瞬で別のウィンドウへコンテキストを切り替えてしまう。
筆者はアップル、グーグル、マイクロソフトにコメントを求めている。
■ダブルクリックジャッキングとは何か?
旧来のクリックジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウェブページ要素をクリックさせるためにさまざまな手法を用いる攻撃だ。典型的には、iframe(ウェブページ内に別のページを埋め込む仕組み)を使い、不可視のHTML要素や完全に不可視のページ自体を重ねて表示させる。こうすると、ユーザーは目に見える要素をクリックしているつもりでも、実際にはその上にある不可視要素をクリックしていることになる。
(省略)
イベロによれば、「わずかな違いに見えるかもしれませんが、ダブルクリックジャッキングは既存のクリックジャッキングの防御をすべて回避する新たなUI操作攻撃で、ほぼすべてのウェブサイトに影響し得るのです」という。さらに以下の理由により危険性が高いと指摘している。
・既存のクリックジャッキング対策を回避できる
・暗号資産ウォレットやスマートフォンへの攻撃にも応用可能
・ハッカーにとって新たな攻撃面を提供する
・あらゆるウェブサイトがデフォルトで脆弱
・被害者はダブルクリックするだけで攻撃が成立する
■ダブルクリックジャッキングの手口
ダブルクリックジャッキングの手口を詳細に解説したブログ記事の中で、イベロは攻撃者がこの手口をどのように悪用できるかの例を2つ挙げている。
1つは、OAuth(Open Authorization、異なるサイト間でユーザー認証を安全に行うための業界標準プロトコル)とAPI(Application Programming Interface、アプリケーション間で情報をやり取りする仕組み)の権限を悪用するケースだ。
OAuthは、アプリケーションやウェブサイトが、別のサイトでホストされているリソースに、別のユーザーに関連してアクセスできるようにするプロトコルだ。OAuthは、これを行うための業界標準の安全な方法……のはずだった。「攻撃者は、広範な権限を持つ悪意のあるアプリケーションを承認するようターゲットを欺く可能性がある」とイベロ氏は警告する。「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」
もう1つとして、イベロはワンクリックでのアカウント変更攻撃を挙げている。これは、ダブルクリックジャッキングが「セキュリティ設定の無効化、アカウントの削除、アクセス許可や送金、トランザクションの確認など、アカウント設定の変更をユーザーにクリックさせるために利用できる」という点で、クリックジャッキングと類似している。
ランサムウェアなどが減少したからといって油断すべきではない。ハッカーは戦術を変えただけなのだ(以下ソース)
1/6(月) 17:00配信
「ダブルクリック」を利用する新しく深刻な脅威、すべてのブラウザが攻撃対象(Forbes JAPAN) - Yahoo!ニュース
数億人のウェブユーザーが、新たに発見された危険なサイバー攻撃について警告を受けている。この攻撃はブラウザの種類を問わず、「ダブルクリック」さえすれば成立してしまう。以下に、「ダブルクリックジャッキン
news.yahoo.co.jp
92名無しどんぶらこ2025/01/11(土) 19:34:35.32ID:61jc9h3c0
>>1
こういうのって、元々仕掛けてあったバックドアがバレただけだろ
IT時代になってアメリカがIT業界を席巻して、日米経済摩擦の頃には負け組だったアメリカが、一気に金融大国になったんだよな
こういうのって、元々仕掛けてあったバックドアがバレただけだろ
IT時代になってアメリカがIT業界を席巻して、日米経済摩擦の頃には負け組だったアメリカが、一気に金融大国になったんだよな
2名無しどんぶらこ2025/01/11(土) 18:40:01.51ID:MuLSjfRH0
クリックしたらいつの間にか偽装サイトに瞬時に変わってるのか
3名無しどんぶらこ2025/01/11(土) 18:40:19.38ID:jrXR+i9Q0
通はシングルクリックだぞ
4名無しどんぶらこ2025/01/11(土) 18:40:54.85ID:oVLbR/A40
低性能PCなら安全
6名無しどんぶらこ2025/01/11(土) 18:41:43.60ID:dNouLZe60
チャタリングで勝手にダブルクリックになってしまう
9名無しどんぶらこ2025/01/11(土) 18:42:00.82ID:2zXWiZ+Y0
ブラウザに記憶させなきゃいい訳か
23名無しどんぶらこ2025/01/11(土) 18:46:45.46ID:F/Py6AuU0
>>9
今のところ、一番のバカレスです!
今のところ、一番のバカレスです!
10名無しどんぶらこ2025/01/11(土) 18:42:29.37ID:+gdwARZB0
ダブルクリックって、使う事ある?
必須なのは、大昔のWindowsくらいだよね?
今は何でもワンクリックで済む
ましてブラウザ上でダブルクリックなんて使う事ないよね?
どんな時に使うの?
必須なのは、大昔のWindowsくらいだよね?
今は何でもワンクリックで済む
ましてブラウザ上でダブルクリックなんて使う事ないよね?
どんな時に使うの?
19名無しどんぶらこ2025/01/11(土) 18:44:34.47ID:4OampNoZ0
>>10
単語を選択状態にしたい時とか……
単語を選択状態にしたい時とか……
24名無しどんぶらこ2025/01/11(土) 18:46:45.75ID:kXoBE3hE0
>>10
おじいちゃんは指が震えてダブルクリックになっちゃう
おじいちゃんは指が震えてダブルクリックになっちゃう
12名無しどんぶらこ2025/01/11(土) 18:42:45.96ID:521VwLII0
ダブルクリックしなかったら安全
13名無しどんぶらこ2025/01/11(土) 18:42:47.05ID:cNRVpX240
OAuthについてほぼ全ての人が間違って理解しているな
このプロトコルはアクセス権限を他人に委譲するための仕組みでセキュリティホールを自発的に開けるものだ
このプロトコルはアクセス権限を他人に委譲するための仕組みでセキュリティホールを自発的に開けるものだ
14名無しどんぶらこ2025/01/11(土) 18:42:59.20ID:LiadhlJU0
要は勝手にフォーカスを変えるってことかな
15名無しどんぶらこ2025/01/11(土) 18:43:01.70ID:xEnLRBrt0
高橋名人でもムリなん?
16名無しどんぶらこ2025/01/11(土) 18:43:13.85ID:mZ006D4u0
通はshift+クリックなんだが
30名無しどんぶらこ2025/01/11(土) 18:49:16.08ID:F/Py6AuU0
>>16
通は… とか言ってて楽しいのか?
通は… とか言ってて楽しいのか?
17名無しどんぶらこ2025/01/11(土) 18:43:28.03ID:6kErbZXc0
スマホがワンタッチでアプリ開けるから
ダブルクリックする必要も無いと感じた
ダブルクリックする必要も無いと感じた
18名無しどんぶらこ2025/01/11(土) 18:44:14.91ID:tkQYRCj80
ブラウザっていうほどダブルクリック必要か
右クリックは結構使うけど
右クリックは結構使うけど
37名無しどんぶらこ2025/01/11(土) 18:51:34.00ID:f3mUrs900
>>18
ほとんどない。
ブラウザアプリでメニューが多い仕様のときに設定するぐらいだな。
ゲームなどならあるかもしれない。
ほとんどない。
ブラウザアプリでメニューが多い仕様のときに設定するぐらいだな。
ゲームなどならあるかもしれない。
22名無しどんぶらこ2025/01/11(土) 18:46:39.79ID:eIKjCcnr0
ほんの数フレームで有害サイトって開けるもんなの?
25名無しどんぶらこ2025/01/11(土) 18:47:24.60ID:hbz0uR7a0
頭良いな
26名無しどんぶらこ2025/01/11(土) 18:48:33.05ID:xEnLRBrt0
慣れてない人の、クリック長押しからダブルクリックを見ると苛ついてしまう幼稚な俺。
27名無しどんぶらこ2025/01/11(土) 18:48:41.47ID:jIGp8i7i0
いまだにクリップボードの中身を暗号化させてから非同期送信する方法がjsで完結方法があるぐらいだからな。
ブラウザアクセスだとスマホはとくにやばい。
ブラウザアクセスだとスマホはとくにやばい。
28名無しどんぶらこ2025/01/11(土) 18:49:12.10ID:v/FISIHi0
シングルクリックのOSさわると、楽だと感じるのは事実
33名無しどんぶらこ2025/01/11(土) 18:50:29.13ID:EnnKiK3b0
ID・パスワードをブラウザに保存とかしてると
引っ掛かるってこと?
引っ掛かるってこと?
34警備員[Lv.7][新芽]2025/01/11(土) 18:50:44.36ID:RC/TjGRI0
乳首ダブルクリックさせてくれる女子募集中
36名無しどんぶらこ2025/01/11(土) 18:51:15.31ID:uYQYvrt10
スマホ使いはそのあたりの操作の違い、動作の違いを理解してないことが多いからなぁ
「何でもいいじゃん。テキトー」
「何でもいいじゃん。テキトー」
38名無しどんぶらこ2025/01/11(土) 18:51:55.84ID:X0lvJeHe0
NHK「いいこと思いついた」
62名無しどんぶらこ2025/01/11(土) 19:05:35.00ID:kp+g++vu0
>>38
契約に拘らなくていいだろ
政府と組んで人頭税にしてしまえ
契約に拘らなくていいだろ
政府と組んで人頭税にしてしまえ
39名無しどんぶらこ2025/01/11(土) 18:53:36.57ID:RDdeeaDP0
うちの会社のおっさんは常にダブルクリックしてる
注意してもひたすらダブルクリック
注意してもひたすらダブルクリック
40名無しどんぶらこ2025/01/11(土) 18:56:12.67ID:oVLbR/A40
ブラウザってダブルクリックする必要無いだろそもそも
47名無しどんぶらこ2025/01/11(土) 18:58:19.89ID:jUN2Z0je0
>>40
文字列の範囲選択とかするとき使う
文字列の範囲選択とかするとき使う
42名無しどんぶらこ2025/01/11(土) 18:56:19.410
WEBサイトでダブルクリックする場面てないだろ
51名無しどんぶらこ2025/01/11(土) 19:01:10.95ID:jFeiTTJ80
>>42
馬鹿はリンク踏む時にダブルクリックするんだよ
そんな地獄にいます
馬鹿はリンク踏む時にダブルクリックするんだよ
そんな地獄にいます
44名無しどんぶらこ2025/01/11(土) 18:57:05.71ID:Se5gMBc60
Googleドライブはダブルクリックして使うな
45名無しどんぶらこ2025/01/11(土) 18:57:44.45ID:0CI+Na4a0
IE開く時はダブルクリックだな
IE使用禁止?
IE使用禁止?
53名無しどんぶらこ2025/01/11(土) 19:02:23.86ID:+Yit9vHd0
「ダブルクリックは危険」とか、もうどうしたらいいのよ。。
コメント