クリックジャッキングを理解する：ブラウザベースの攻撃で保護を回避しアカウントを乗っ取る

クリックジャッキングは、何も知らないユーザーを騙して無害だと思ってリンクをクリックさせ、その後マルウェアをダウンロードし、ログイン認証情報を収集し、オンライン アカウントを乗っ取ります。残念ながら、クリックジャッキング マルウェアはセキュリティ保護を回避できますが、自分自身を保護する方法はあります。

• DNSの脆弱性からクリックジャッキングまで

クリックジャッキングとは何ですか?

クリックジャッキングは、UI リドレス攻撃とも呼ばれ、ユーザーを操作して別のものに偽装されたボタンやリンクをクリックさせるインターフェースベースの攻撃の一種です。

正当な企業の Web サイトを模倣して設計された偽の Web サイトに被害者を誘導する Web サイト スプーフィングとは異なり、クリックジャッキングではユーザーを実際の Web サイトに誘導します。ただし、攻撃者は、カスケード スタイル シート (CSS) や iframe などの HTML ツールを使用して、正規の Web サイトの上に目に見えないオーバーレイを作成します。

非表示のレイヤーは、Web ページまたは HTML ドキュメントを別の Web ページに埋め込むために使用される HTML 要素である iframe を使用して作成されます。透明性が高いため、正規の Web サイトとやり取りしているように見えます。ただし、Web サイト上のボタンをクリックしたり、ゲームをプレイしたり、無害であると判断したタスクを実行したりすると、それらのクリックは上部の非表示の Web サイトに適用されます。これらのクリックにより、ハッカーがアカウントにアクセスし、マルウェアをダウンロードしたり、デバイスを制御したり、その他の不正な活動を実行したりできるようになります。

場合によっては、攻撃者はマーケティング担当者を装い、ユーザーを騙してソーシャル メディアのページや投稿に「いいね！」をさせることがあります。この攻撃はライクジャッキングと呼ばれます。攻撃者はユーザーに興味深いビデオや「特別オファー」を送信し、ユーザーが「再生」をクリックしたり、コンテンツを操作したりするときに、隠された「いいね」ボタンを誤ってクリックします。

クリックジャッキングの別のバージョンであるカーソルジャッキングは、カスタム カーソルを使用してユーザーを誘導し、ユーザーが意図していないリンクや Web サイトの一部をクリックさせます。

クリックジャッキングのより高度なバリエーションであるダブルクリックジャッキングは、ユーザーのダブルクリックのタイミングと順序を悪用します。

ウイルス対策とブラウザ保護をバイパスする

クリックジャッキングが心配されるのは、ウイルス対策ソフトウェアやマルウェア対策ソフトウェアを回避してしまうことが多いからです。これらの攻撃は評判の良い Web サイトで発生し、必ずしも何かをダウンロードするわけではないため、従来のウイルス対策ソフトウェアでは検出されない可能性があります。

ほとんどのブラウザには保護機能が組み込まれていますが、周知のとおり、ハッカーは常にオンラインでユーザーを搾取する新しい方法を探しています。基本的なクリックジャッキング攻撃のほとんどは効果的にブロックされますが、二重のクリックジャッキング攻撃はブロックされません。

最初のクリックで何か悪意のあることが起こるのではなく、攻撃者のコードは、2 回目のクリックを促す前に、乗っ取られたオーバーレイを挿入します。これは、アクションを確認するための単純なダブルクリックの形で表示される場合もあれば、煩わしい CAPTCHA の形で表示される場合もあります。 2 回目のクリックで、誤ってプラグインをインストールし、攻撃者にアカウントへのアクセス権を与えてしまう可能性があります。

現在、ブラウザでは通常の iframe 設定が使用されていないため、この複雑なバージョンを検出できない可能性があり、クリックジャッキングの被害者になるリスクが高くなります。これはデスクトップ ブラウザに限定されるものではありません。モバイル ユーザーもダブルタップ プロンプトの対象となります。

ダブルジャッキングがクリックジャッキング対策を迂回する方法

多くの最新の Web ブラウザでは、セキュリティ保護によってクリックジャッキングが軽減されています。しかし、「ダブルクリックジャッキング」と呼ばれる高度な攻撃では、2 回のクリック間のシーケンスを悪用して従来の保護を回避し、アカウントを乗っ取ったり不正なアクションを実行したりする可能性があります。

ダブルクリックジャッキング攻撃では、ユーザーの最初のクリックと 2 番目のクリックの間に悪意のある要素が挿入されます。まず、攻撃者が管理する Web サイトに移動し、CAPTCHA を解いたり、ボタンをダブルクリックしてアクションを承認したりするように求められます。最初のクリックで上部のウィンドウ（オーバーレイ CAPTCHA）が閉じられるか変更され、2 回目のクリックで以前は非表示だった認証ボタンまたはリンクに移動します。 2 回目のクリックで悪意のあるプラグインが承認され、OAuth アプリがアカウントに接続したり、多要素認証プロンプトを承認したりします。

自分を守るためにできること

クリックジャッキングの手法は巧妙で、クリックを騙して盗むように設計されていますが、自分自身を守るためにできることがいくつかあります。

• デバイスとブラウザを常に最新の状態に保ってください。セキュリティ パッチとソフトウェア アップデートに注意し、利用可能になったらすぐにインストールしてください。エンジニアは、セキュリティの脆弱性に対処し、ユーザーを新たな攻撃から保護するために、定期的にパッチをリリースします。
• 特によく知らない Web サイトでは、ダブルクリックを促すプロンプトには注意してください。
• アクセスするウェブサイトのURL を必ず再確認してください。攻撃者は、タイポスクワッティング技術を使用して、「ama-zon.com」のようにドメインに「a」やハイフンを追加するなど、非常に小さな違いがある正規バージョンのドメインを購入することができます。
• 出典が不明な場合はリンクをクリックしないでください。サイトリンク チェッカーを使用して、リンクが安全かどうかを確認できます。

攻撃者は、正規の Web サイトに対するユーザーの信頼や、ダブルクリックなどの無意識に行う基本的な操作を悪用することがよくあります。自分を守るために、クリックする前に必ずゆっくり考えて下さい。