Googleのセキュリティエンジニアでウェブセキュリティ研究者のミハル・ザレフスキー氏によると、ウェブサイトがクリックジャッキング攻撃を防ぐのを助けるためにブラウザに実装されている、いわゆるフレームバスティングのメカニズムは期待どおりには機能していないとのことで、同氏はそれを実証する概念実証コードを公開した。
「JavaScriptは人間の認知能力を驚くほど活用することを可能にする。ウィンドウの位置指定やhistory.forward()、history.back()などのツールは、我々が全く対処する準備ができていない恐ろしい可能性を生み出す」とザレウスキー氏は自身のウェブサイトで述べた。
「クリックジャッキングに対する我々の対応、そしてそれをマウスクリックとiframeタグに特有の非常に限定的な問題として扱うことが、なぜやや近視眼的であるかを示す、もう一つの粗雑な概念実証を披露したかったのです」と、同氏は付け加えた。
クリックジャッキングは、ユーザー インターフェイス (UI) リドレスアップとも呼ばれ、ブラウザーに表示されるコンテンツを偽って、ユーザーを騙し、不正なアクションを実行させることを目的とした攻撃の一種です。
クリックジャッキングの検出とブロックにおける最大の問題は、悪意のある目的を達成するために正当なWebプログラミング技術が利用されることです。最も一般的な実装は、CSSコードを使用してiframeに読み込まれたコンテンツを非表示にし、正当な要素のように見える要素に重ね合わせるというものです。
Facebookターゲット
この手法は、Facebook 攻撃で頻繁に使用されており、「いいね!」ボタンを見えなくし、別の機能を果たすボタンの上に配置することで、ユーザーを騙してスパム ページに「いいね!」させています。
このような攻撃を防ぐため、ウェブマスターは長年にわたりJavaScriptコードを使用して、ウェブサイトがiframeで読み込まれるのをブロックしてきました。この種の保護はフレームバスティングと呼ばれています。
時が経つにつれ、ブラウザベンダーはX-Frame-Optionsと呼ばれる特別なHTTPヘッダーを実装しました。これは、ウェブサイトがブラウザに対し、特定のページを外部iframeに読み込まないように指示するために使用できます。しかし、Michal Zalewski氏は、この保護対策では不十分だと考えています。そして、それを証明する概念実証型のクリックジャッキング攻撃を開発しました。
セキュリティ研究者によると、より広範囲のクリックジャッキング攻撃から保護するための他のソリューションも存在するが、それらはより複雑なため、現時点ではブラウザベンダーの間では普及していないという。
Firefoxの人気セキュリティ拡張機能「NoScript」は、クリックジャッキング攻撃の検出とブロックに優れているとされていますが、誤検知率も高いのが難点です。このアドオンは、十分な知識を持ち、自分で判断できるパワーユーザーを対象としているため、現時点では大きな問題ではありません。
しかし、技術に詳しくない何百万人ものユーザーが使用するブラウザにこのような機能を直接実装することは、ベンダーが行う可能性は低いでしょう。
