【PC】「ダブルクリック」を利用する新しく深刻な脅威、すべてのブラウザが攻撃対象

■ダブルクリックは危険、新たなハック攻撃が確認される

アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。

このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。

被害者が画面上にあるCAPTCHAなどをクリックしているつもりのわずかな時間を突いて、実際にはログインやアカウント承認といった操作を承認させるわけだ。要するに、新たなウィンドウを開き、被害者にダブルクリックを促している間に、ハッカーが一瞬で別のウィンドウへコンテキストを切り替えてしまう。

筆者はアップル、グーグル、マイクロソフトにコメントを求めている。

■ダブルクリックジャッキングとは何か？

旧来のクリックジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウェブページ要素をクリックさせるためにさまざまな手法を用いる攻撃だ。典型的には、iframe（ウェブページ内に別のページを埋め込む仕組み）を使い、不可視のHTML要素や完全に不可視のページ自体を重ねて表示させる。こうすると、ユーザーは目に見える要素をクリックしているつもりでも、実際にはその上にある不可視要素をクリックしていることになる。

（省略）

イベロによれば、「わずかな違いに見えるかもしれませんが、ダブルクリックジャッキングは既存のクリックジャッキングの防御をすべて回避する新たなUI操作攻撃で、ほぼすべてのウェブサイトに影響し得るのです」という。さらに以下の理由により危険性が高いと指摘している。

・既存のクリックジャッキング対策を回避できる
・暗号資産ウォレットやスマートフォンへの攻撃にも応用可能
・ハッカーにとって新たな攻撃面を提供する
・あらゆるウェブサイトがデフォルトで脆弱
・被害者はダブルクリックするだけで攻撃が成立する

■ダブルクリックジャッキングの手口

ダブルクリックジャッキングの手口を詳細に解説したブログ記事の中で、イベロは攻撃者がこの手口をどのように悪用できるかの例を2つ挙げている。

1つは、OAuth（Open Authorization、異なるサイト間でユーザー認証を安全に行うための業界標準プロトコル）とAPI（Application Programming Interface、アプリケーション間で情報をやり取りする仕組み）の権限を悪用するケースだ。

OAuthは、アプリケーションやウェブサイトが、別のサイトでホストされているリソースに、別のユーザーに関連してアクセスできるようにするプロトコルだ。OAuthは、これを行うための業界標準の安全な方法……のはずだった。「攻撃者は、広範な権限を持つ悪意のあるアプリケーションを承認するようターゲットを欺く可能性がある」とイベロ氏は警告する。「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」

もう1つとして、イベロはワンクリックでのアカウント変更攻撃を挙げている。これは、ダブルクリックジャッキングが「セキュリティ設定の無効化、アカウントの削除、アクセス許可や送金、トランザクションの確認など、アカウント設定の変更をユーザーにクリックさせるために利用できる」という点で、クリックジャッキングと類似している。

ランサムウェアなどが減少したからといって油断すべきではない。ハッカーは戦術を変えただけなのだ（以下ソース）

1/6(月) 17:00配信
https://news.yahoo.co.jp/articles/42e25bb4dbe45d13ca91f8753aa69f8a48e3654e

そもそもブラウザ操作中にダブルクリックとかしないし