【PC】「ダブルクリック」を利用する新しく深刻な脅威、すべてのブラウザが攻撃対象

ブラウザでダブルはないな

1: 樽悶 ★ 2025/01/11(土) 18:37:50.43 ID:cTINflOI9

数億人のウェブユーザーが、新たに発見された危険なサイバー攻撃について警告を受けている。この攻撃はブラウザの種類を問わず、「ダブルクリック」さえすれば成立してしまう。以下に、「ダブルクリックジャッキング（ダブルクリックジャック攻撃）」について知っておくべきポイントをまとめる。

■ダブルクリックは危険、新たなハック攻撃が確認される

アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。

このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。

被害者が画面上にあるCAPTCHAなどをクリックしているつもりのわずかな時間を突いて、実際にはログインやアカウント承認といった操作を承認させるわけだ。要するに、新たなウィンドウを開き、被害者にダブルクリックを促している間に、ハッカーが一瞬で別のウィンドウへコンテキストを切り替えてしまう。

筆者はアップル、グーグル、マイクロソフトにコメントを求めている。

■ダブルクリックジャッキングとは何か？

旧来のクリックジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウェブページ要素をクリックさせるためにさまざまな手法を用いる攻撃だ。典型的には、iframe（ウェブページ内に別のページを埋め込む仕組み）を使い、不可視のHTML要素や完全に不可視のページ自体を重ねて表示させる。こうすると、ユーザーは目に見える要素をクリックしているつもりでも、実際にはその上にある不可視要素をクリックしていることになる。

（省略）

イベロによれば、「わずかな違いに見えるかもしれませんが、ダブルクリックジャッキングは既存のクリックジャッキングの防御をすべて回避する新たなUI操作攻撃で、ほぼすべてのウェブサイトに影響し得るのです」という。さらに以下の理由により危険性が高いと指摘している。

・既存のクリックジャッキング対策を回避できる
・暗号資産ウォレットやスマートフォンへの攻撃にも応用可能
・ハッカーにとって新たな攻撃面を提供する
・あらゆるウェブサイトがデフォルトで脆弱
・被害者はダブルクリックするだけで攻撃が成立する

■ダブルクリックジャッキングの手口

ダブルクリックジャッキングの手口を詳細に解説したブログ記事の中で、イベロは攻撃者がこの手口をどのように悪用できるかの例を2つ挙げている。

1つは、OAuth（Open Authorization、異なるサイト間でユーザー認証を安全に行うための業界標準プロトコル）とAPI（Application Programming Interface、アプリケーション間で情報をやり取りする仕組み）の権限を悪用するケースだ。

OAuthは、アプリケーションやウェブサイトが、別のサイトでホストされているリソースに、別のユーザーに関連してアクセスできるようにするプロトコルだ。OAuthは、これを行うための業界標準の安全な方法……のはずだった。「攻撃者は、広範な権限を持つ悪意のあるアプリケーションを承認するようターゲットを欺く可能性がある」とイベロ氏は警告する。「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」

もう1つとして、イベロはワンクリックでのアカウント変更攻撃を挙げている。これは、ダブルクリックジャッキングが「セキュリティ設定の無効化、アカウントの削除、アクセス許可や送金、トランザクションの確認など、アカウント設定の変更をユーザーにクリックさせるために利用できる」という点で、クリックジャッキングと類似している。

ランサムウェアなどが減少したからといって油断すべきではない。ハッカーは戦術を変えただけなのだ（以下ソース）https://news.yahoo.co.jp/articles/42e25bb4dbe45d13ca91f8753aa69f8a48e3654e

2: 名無しどんぶらこ 2025/01/11(土) 18:40:01.51 ID:MuLSjfRH0

クリックしたらいつの間にか偽装サイトに瞬時に変わってるのか

3: 名無しどんぶらこ 2025/01/11(土) 18:40:19.38 ID:jrXR+i9Q0

通はシングルクリックだぞ

4: 名無しどんぶらこ 2025/01/11(土) 18:40:54.85 ID:oVLbR/A40

低性能PCなら安全

5: 名無しどんぶらこ 2025/01/11(土) 18:41:39.68 ID:9SMMkATq0

乳首ダブルクリックしちゃうぞ～

6: 名無しどんぶらこ 2025/01/11(土) 18:41:43.60 ID:dNouLZe60

チャタリングで勝手にダブルクリックになってしまう

7: 名無しどんぶらこ 2025/01/11(土) 18:41:43.65 ID:8pyWH6GC0

下からでてくる見えない広告だろ
対策するわけ無いな

8: 名無しどんぶらこ 2025/01/11(土) 18:41:45.89 ID:8Lb5cKpp0

特定の場所をクリックしようとしたときに
巨大広告が画面上から湧いて出てきて意図しない場所をクリックする問題と何が違う？

そもそもブラウザ操作中にダブルクリックとかしないし

9: 名無しどんぶらこ 2025/01/11(土) 18:42:00.82 ID:2zXWiZ+Y0

ブラウザに記憶させなきゃいい訳か

23: 名無しどんぶらこ 2025/01/11(土) 18:46:45.46 ID:F/Py6AuU0

>>9
今のところ、一番のバカレスです！

10: 名無しどんぶらこ 2025/01/11(土) 18:42:29.37 ID:+gdwARZB0

ダブルクリックって、使う事ある？
必須なのは、大昔のWindowsくらいだよね？
今は何でもワンクリックで済む
ましてブラウザ上でダブルクリックなんて使う事ないよね？
どんな時に使うの？

19: 名無しどんぶらこ 2025/01/11(土) 18:44:34.47 ID:4OampNoZ0

>>10
単語を選択状態にしたい時とか……

24: 名無しどんぶらこ 2025/01/11(土) 18:46:45.75 ID:kXoBE3hE0

>>10
おじいちゃんは指が震えてダブルクリックになっちゃう

12: 名無しどんぶらこ 2025/01/11(土) 18:42:45.96 ID:521VwLII0

ダブルクリックしなかったら安全

13: 名無しどんぶらこ 2025/01/11(土) 18:42:47.05 ID:cNRVpX240

OAuthについてほぼ全ての人が間違って理解しているな
このプロトコルはアクセス権限を他人に委譲するための仕組みでセキュリティホールを自発的に開けるものだ

14: 名無しどんぶらこ 2025/01/11(土) 18:42:59.20 ID:LiadhlJU0

要は勝手にフォーカスを変えるってことかな

15: 名無しどんぶらこ 2025/01/11(土) 18:43:01.70 ID:xEnLRBrt0

高橋名人でもムリなん？

16: 名無しどんぶらこ 2025/01/11(土) 18:43:13.85 ID:mZ006D4u0

通はshift+クリックなんだが

30: 名無しどんぶらこ 2025/01/11(土) 18:49:16.08 ID:F/Py6AuU0

>>16
通は… とか言ってて楽しいのか？

17: 名無しどんぶらこ 2025/01/11(土) 18:43:28.03 ID:6kErbZXc0

スマホがワンタッチでアプリ開けるから
ダブルクリックする必要も無いと感じた

18: 名無しどんぶらこ 2025/01/11(土) 18:44:14.91 ID:tkQYRCj80

ブラウザっていうほどダブルクリック必要か
右クリックは結構使うけど

37: 名無しどんぶらこ 2025/01/11(土) 18:51:34.00 ID:f3mUrs900

>>18
ほとんどない。
ブラウザアプリでメニューが多い仕様のときに設定するぐらいだな。
ゲームなどならあるかもしれない。

21: 名無しどんぶらこ 2025/01/11(土) 18:46:38.44 ID:HSon5zxB0

なりすましか、そもそもSNSのアカウントがないわ
Linuxユーザーなので、Apple IDとかGoogle ID も使ってないわ

22: 名無しどんぶらこ 2025/01/11(土) 18:46:39.79 ID:eIKjCcnr0

ほんの数フレームで有害サイトって開けるもんなの？

25: 名無しどんぶらこ 2025/01/11(土) 18:47:24.60 ID:hbz0uR7a0

頭良いな

26: 名無しどんぶらこ 2025/01/11(土) 18:48:33.05 ID:xEnLRBrt0

慣れてない人の、クリック長押しからダブルクリックを見ると苛ついてしまう幼稚な俺。

27: 名無しどんぶらこ 2025/01/11(土) 18:48:41.47 ID:jIGp8i7i0

いまだにクリップボードの中身を暗号化させてから非同期送信する方法がjsで完結方法があるぐらいだからな。
ブラウザアクセスだとスマホはとくにやばい。

28: 名無しどんぶらこ 2025/01/11(土) 18:49:12.10 ID:v/FISIHi0

シングルクリックのOSさわると、楽だと感じるのは事実

33: 名無しどんぶらこ 2025/01/11(土) 18:50:29.13 ID:EnnKiK3b0

ID・パスワードをブラウザに保存とかしてると
引っ掛かるってこと？

36: 名無しどんぶらこ 2025/01/11(土) 18:51:15.31 ID:uYQYvrt10

スマホ使いはそのあたりの操作の違い、動作の違いを理解してないことが多いからなぁ
「何でもいいじゃん。テキトー」

38: 名無しどんぶらこ 2025/01/11(土) 18:51:55.84 ID:X0lvJeHe0

NHK「いいこと思いついた」

40: 名無しどんぶらこ 2025/01/11(土) 18:56:12.67 ID:oVLbR/A40

ブラウザってダブルクリックする必要無いだろそもそも

47: 名無しどんぶらこ 2025/01/11(土) 18:58:19.89 ID:jUN2Z0je0

>>40
文字列の範囲選択とかするとき使う

42: 名無しどんぶらこ 2025/01/11(土) 18:56:19.41 0

WEBサイトでダブルクリックする場面てないだろ

43: 名無しどんぶらこ 2025/01/11(土) 18:56:22.42 ID:ZmQoC4ow0

ダブルクリックなんてエクスプローラでファイル開く時かショートカットでアプリ起動する時くらいしか使ってない気がする

44: 名無しどんぶらこ 2025/01/11(土) 18:57:05.71 ID:Se5gMBc60

Googleドライブはダブルクリックして使うな

45: 名無しどんぶらこ 2025/01/11(土) 18:57:44.45 ID:0CI+Na4a0

IE開く時はダブルクリックだな
IE使用禁止?

46: 名無しどんぶらこ 2025/01/11(土) 18:57:52.78 ID:66Mn+C/c0

考えてみればブラウザでダブルはないな

引用元: ・https://asahi.5ch.net/test/read.cgi/newsplus/1736588270/

新着記事

コメント