アドビ、「Flash Player」の「クリックジャッキング」回避策を発表

　Adobeは米国時間10月7日、攻撃者が「Flash」のセキュリティ設定を変更できるという重大な問題に対する回避策を発表した。

　WhiteHat Securityの最高技術責任者（CTO）であるJeremiah Grossman氏が9月にブログに投稿した内容によると、「クリックジャッキング（clickjacking）」という言葉は、「攻撃者がユーザーをだまし、ほとんど気付かないか、気付くチャンスが一瞬しかないような何かをクリックさせるような攻撃手法」に付けられた名前であるという。また同氏は、「クリックジャッキングへの対策は主としてブラウザベンダーの双肩にかかっている」と述べたものの、自身とRobert Hansen氏は協議のうえで、これ以上の詳細情報の公開を控えるとともに、最近開催された「OWASP NYC AppSec 2008 Conference」で行う予定だった討論もAdobeからの要請により中止したと述べている。Adobeは両氏に対して謝意を表明している。

　簡単に言えば、この攻撃では、悪意をもって作成されたウェブページ上に埋め込まれたオブジェクトが使用される。攻撃者はフレーム化されたコンテンツ、Flashや「Silverlight」「Java」を用いたコンテンツを使用することで、マウスポインタの下に透明な、つまり目に見えないボタンを配置することで、ユーザーがページ上の何かをクリックすると（例えば、Googleの検索結果で次ページを見るためのリンクをクリックすると）、悪意のあるコードを含んだ見えないウェブサイトもクリックされるように仕組むのである。またこの攻撃では、自身を偽装するためにダイナミックHTML（DHTML）やCSS（Cascading Style Sheets）を利用することも考えられる。

　Guy Aharonovsky氏はブログで、クリックジャッキングの手法を用いてFlashのセキュリティ設定を変更し、PCのウェブカムやマイクを乗っ取るプロセスを説明している。同氏は、これによって遠隔地からの盗聴が可能になると述べている。

　Aharonovsky氏がデモ用に作成したページは現在無効になっているものの、同氏が公開しているデモ用ビデオでは、攻撃者によって巧妙に作成されたボタンがウェブページ上をあちこち動き回っている様子が示されている。実際にはマウスポインタの下にくるボタンは透明にされ、ユーザーには見えないようになっているだろう。Aharonovsky氏はバックグラウンドで、攻撃者がFlashのプライバシー設定を変更している様子を見せてくれている。Aharonovsky氏は「すべてのFlashやJava、Silverlight、DHTMLゲーム、アプリケーションにおいて同様のことが行えるということを心に留めて置いてほしい」と述べている。

　この問題（これに関連した特定の脆弱性は5〜6個存在している可能性がある）を利用した攻撃の対象となるブラウザは「Internet Explorer」（IE）や「Firefox」「Opera」「Safari」「Google Chrome」である。ブラウザ上でJavaScriptを無効化しても効果はない。この攻撃ではJavaScriptを利用する必要がないのである。Grossman氏は「クリックジャッキングはよく知られた問題であるものの、注目度があまりに低く、対策もほとんどとられていない」と述べている。

　AdobeはFlashのユーザーに対して、Adobe Flash Playerの「設定マネージャ」の「グローバルプライバシー設定」で「常に拒否」を指定するよう忠告している。これはつまり、ユーザーが該当設定を変更した後、カメラやマイクへのアクセスを許可するかどうかが問われなくなるということを意味している。Adobeによると、この問題への対策が施されたFlash Playerのアップデートは10月中にリリースされる予定だという。

　一方、Firefoxユーザーは「NoScript」プラグインの利用を検討し、iframeコンテンツを禁止する設定にしておくべきである。NoScriptにおいてこの攻撃を防ぐための設定に関する詳細はこのページを参照してほしい。

　また、その他のブラウザをセキュアにするためのUS-CERTによる助言はこのページを参照してほしい。