IE8のクリック・ジャッキング対策機能はほんとうに有効か
1月28日(水)22時22分配信 Computerworld.jp
米国Microsoftは、Webブラウザの次世代バージョン「Internet Explorer 8(IE8)」に、「クリック・ジャッキング」攻撃を防止する機能を搭載した。しかし、セキュリティ専門家の間からは、その有効性を疑問視する声が出ている。
【関連画像を含む詳細記事】
Microsoftは、IE8 RC(Release Candidate)1にこの機能を搭載し、“実用的”なクリック・ジャッキング対策であることを強調した。クリック・ジャッキング攻撃とは、攻撃者が特殊なWebプログラミングの手法を用いてユーザーをだまし、本人が気付かないうちにWeb上の任意のボタンをクリックさせる手法だ。攻撃に成功するのは難しいが、うまくいけば、金融サービスのWebサイトで株取引を実行させたり、不要なソフトをダウンロードさせたり、ルータやファイアウォールの構成をWeb管理画面から変更させたりすることができるため、きわめて深刻な問題としてとらえられている。
Microsoftがクリック・ジャッキングを防ぐために採用したアプローチは、Webページに特殊なタグを追加し、Webボタンが悪用されるのを防ぐというものだ。しかし専門家らは、この機能が限定的な対策にしかならないうえ、セキュリティに対する誤った認識をIEユーザーに与えてしまう危険もあると指摘する。
米国のコンサルタント会社SecTheoryのCEOであるロバート・ハンセン(Robert Hansen)氏は、この問題をいち早くMicrosoftに指摘し、「どのようにイメージを膨らませても、クリック・ジャッキング問題の解決策にはならない。IE8を使用する極めて少数の人々の危険を若干和らげる程度の対策でしかないからだ。しかし、Microsoftがこの問題を深刻に受け止めている点は評価したい」と述べている。
IEユーザーをクリック・ジャッキングから守るために、この Microsoftの技術を採用するWebサイトは少なくないと見られているが、HTMLコードがアップデートされずに攻撃可能となっているWebサイト(ルータのWeb管理画面や企業のWebアプリケーション)が多数残る可能性や、Microsoftの機能を導入していないWebサイトが狙われる可能性も否定できない。Hansen氏は、「IE8の機能は、すべてのユーザーが適切な対策を講じることではじめて有効性を発揮するものであり、そのための啓発活動には何年もかかるはずだ」と指摘する。
また、ある専門家は、「IEを使っているのでクリック・ジャッキングの心配はない」という誤った意識をユーザーが抱いてしまう危険性を指摘する。
Firefoxのアドオン・ソフト「NoScript」の開発者であるジョルジォ・マオーネ(Giorgio Maone)氏は、1月27日のブログ・エントリで次のように述べている。「IEユーザーにとって残念なニュースだが、これでは十分な保護対策にならない。確かにブラウザ・アドオンを導入する必要はないが、エンド・ユーザーが確認できない独自のプログラムをすべてのWebサイトで導入し、実際に使用しなければ意味がないためだ」
NoScriptは、クリック・ジャッキングを含むWebベースの攻撃を防ぐ有効なソリューションとして知られている。このアドオンをインストールして機能を有効にすれば、Firefoxで使用されるスクリプトをユーザー側が選択できるようになるため、クリック・ジャッキングのようなスクリプトを悪用して自動的に稼働する攻撃を防ぐことができる。
FirefoxのNoScriptは、クリック・ジャッキング対策として最も有効な技術として認められていたが、MicrosoftはそこにIE 8という選択肢を突き付けた形となった。そこでMaone氏は、NoScriptでもIE 8で使われるクリック・ジャッキング対策用のWebコードを活用できるようにするため、互換機能を開発中だ。また同氏は、この機能をFirefoxの次期バージョンに組み込むことも求めている。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
う~ん選択枠があるのはいい事だと思うんですが、マイクロソフトの先走りし過ぎというのが専門家の見方なのでしょうか。稲妻はブラウザを使い分けしてるのですがIE8は使ってませんねぇ(笑。一番いいのは不振なサイトにはいかない。下手にクリックしないといった所でしょうかねぇ。
暗黒の稲妻
BGM:Come Undone(By Duran Duran)
1月28日(水)22時22分配信 Computerworld.jp
米国Microsoftは、Webブラウザの次世代バージョン「Internet Explorer 8(IE8)」に、「クリック・ジャッキング」攻撃を防止する機能を搭載した。しかし、セキュリティ専門家の間からは、その有効性を疑問視する声が出ている。
【関連画像を含む詳細記事】
Microsoftは、IE8 RC(Release Candidate)1にこの機能を搭載し、“実用的”なクリック・ジャッキング対策であることを強調した。クリック・ジャッキング攻撃とは、攻撃者が特殊なWebプログラミングの手法を用いてユーザーをだまし、本人が気付かないうちにWeb上の任意のボタンをクリックさせる手法だ。攻撃に成功するのは難しいが、うまくいけば、金融サービスのWebサイトで株取引を実行させたり、不要なソフトをダウンロードさせたり、ルータやファイアウォールの構成をWeb管理画面から変更させたりすることができるため、きわめて深刻な問題としてとらえられている。
Microsoftがクリック・ジャッキングを防ぐために採用したアプローチは、Webページに特殊なタグを追加し、Webボタンが悪用されるのを防ぐというものだ。しかし専門家らは、この機能が限定的な対策にしかならないうえ、セキュリティに対する誤った認識をIEユーザーに与えてしまう危険もあると指摘する。
米国のコンサルタント会社SecTheoryのCEOであるロバート・ハンセン(Robert Hansen)氏は、この問題をいち早くMicrosoftに指摘し、「どのようにイメージを膨らませても、クリック・ジャッキング問題の解決策にはならない。IE8を使用する極めて少数の人々の危険を若干和らげる程度の対策でしかないからだ。しかし、Microsoftがこの問題を深刻に受け止めている点は評価したい」と述べている。
IEユーザーをクリック・ジャッキングから守るために、この Microsoftの技術を採用するWebサイトは少なくないと見られているが、HTMLコードがアップデートされずに攻撃可能となっているWebサイト(ルータのWeb管理画面や企業のWebアプリケーション)が多数残る可能性や、Microsoftの機能を導入していないWebサイトが狙われる可能性も否定できない。Hansen氏は、「IE8の機能は、すべてのユーザーが適切な対策を講じることではじめて有効性を発揮するものであり、そのための啓発活動には何年もかかるはずだ」と指摘する。
また、ある専門家は、「IEを使っているのでクリック・ジャッキングの心配はない」という誤った意識をユーザーが抱いてしまう危険性を指摘する。
Firefoxのアドオン・ソフト「NoScript」の開発者であるジョルジォ・マオーネ(Giorgio Maone)氏は、1月27日のブログ・エントリで次のように述べている。「IEユーザーにとって残念なニュースだが、これでは十分な保護対策にならない。確かにブラウザ・アドオンを導入する必要はないが、エンド・ユーザーが確認できない独自のプログラムをすべてのWebサイトで導入し、実際に使用しなければ意味がないためだ」
NoScriptは、クリック・ジャッキングを含むWebベースの攻撃を防ぐ有効なソリューションとして知られている。このアドオンをインストールして機能を有効にすれば、Firefoxで使用されるスクリプトをユーザー側が選択できるようになるため、クリック・ジャッキングのようなスクリプトを悪用して自動的に稼働する攻撃を防ぐことができる。
FirefoxのNoScriptは、クリック・ジャッキング対策として最も有効な技術として認められていたが、MicrosoftはそこにIE 8という選択肢を突き付けた形となった。そこでMaone氏は、NoScriptでもIE 8で使われるクリック・ジャッキング対策用のWebコードを活用できるようにするため、互換機能を開発中だ。また同氏は、この機能をFirefoxの次期バージョンに組み込むことも求めている。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
う~ん選択枠があるのはいい事だと思うんですが、マイクロソフトの先走りし過ぎというのが専門家の見方なのでしょうか。稲妻はブラウザを使い分けしてるのですがIE8は使ってませんねぇ(笑。一番いいのは不振なサイトにはいかない。下手にクリックしないといった所でしょうかねぇ。
暗黒の稲妻
BGM:Come Undone(By Duran Duran)