『Flash』にも影響を与える「クリックジャッキング」の脅威

セキュリティ研究者の Robert Hanson 氏 (Rsnake 氏としても知られる) が、「クリックジャッキング」と呼ばれる新種の脆弱性を警告している。これまでのところ、すでに Adobe が、悪用されるおそれのあるクリックジャッキング脆弱性に関して、『Adobe Flash Player』を保護するためのセキュリティ勧告を発表している。

クリックジャッキングを理解するのは、簡単なことではない。平たく言えばクロス サイト スクリプティングのようなものだが、実際はそう単純ではない。Rsnake 氏は Blog 記事のなかで、次のように説明している。

「まず、クリックジャッキングにはいくつかの種類があることを説明したい。クロス ドメイン アクセスが必要な場合もあれば、そうでないこともある。あるページの上にページ全体をオーバーレイすることもあれば、iframe を利用してユーザーに特定のスポットをクリックさせることもある。JavaScript が必要なこともあれば、そうでないこともある。CSRF によりデータをフォーム内にあらかじめロードすることもあれば、そうでないこともある。クリックジャッキングとは、そうした個々の事例のいずれか1つというのではなく、そのすべてを指すものだ。だからこそ、好みはともかくとして、新しい用語を作る必要があった」

Rsnake 氏によれば、クリックジャッキングに関連する問題は全部で8つあるが、現在のところ、出荷されているアプリケーションで解決されている問題は、そのうちの2つだけだという。Adobe は Flash に関するセキュリティ勧告を発表した。Adobe のセキュリティ研究者 David Lenoe 氏も、この問題について Blog で次のように述べている。

「ブラウザが『クリックジャッキング』されるおそれがあるというこの問題は、Adobe Flash Player のマイクロフォンおよびカメラのアクセスダイアログに影響を及ぼす。この問題を軽減する Flash Player アップデートの提供が、10月末にまでに開始される予定だ。それまでは、勧告で説明している対策を講じてほしい」

クリックジャッキングが深刻な問題で、新手の脅威であることは間違いない。2008年から2009年にかけて、さらに多くの事例が出てくるものと予想される。