ダブルクリックの隙を狙う――巧妙なサイバー攻撃『ダブルクリックジャッキング』の全貌

当ページはアフィリエイト広告を利用しています

記事内に広告が含まれています。
ダブルクリックの隙を狙う――巧妙なサイバー攻撃『ダブルクリックジャッキング』の全貌

「何気なくクリックするその瞬間に、あなたの情報が奪われるかもしれない――。」

クリックジャッキングというサイバー攻撃手法はこれまでも知られてきましたが、さらに進化した形として登場したのが『ダブルクリックジャッキング』です。この攻撃は、ユーザーの短いダブルクリック動作を悪用し、不正な操作を実行させます。その巧妙さと危険性は、従来の対策をすり抜ける点にあります。本記事では、その仕組みと具体例、そして防御策を初心者でもわかりやすく解説します。

ダブルクリックジャッキング攻撃とは

2025年1月、新たなセキュリティ脅威「ダブルクリックジャッキング」が発見されました。この攻撃手法は、ユーザーのダブルクリック動作を悪用し、既存の類似攻撃の対策を回避する高度な技術です。

クリックジャッキングとダブルクリックジャッキングの違い

クリックジャッキングとは、見た目では無害に見えるボタンやリンクをクリックさせ、裏で不正な操作を実行する攻撃手法です。例えば、「動画再生」ボタンをクリックしたつもりが、実際にはユーザーのアカウント情報を盗む操作が行われるケースがあります。

一方で、ダブルクリックジャッキングは、この攻撃をさらに進化させたものです。攻撃者はユーザーが2回目のクリックを行う短時間の間に、クリック対象を瞬時に変更します。これにより、ユーザーは意図しない操作を実行させられるのです。

ダブルクリックジャッキングの仕組み

上記を踏まえて、まずは下記の動画をご覧ください。

出典:TheHackerNewsNew “DoubleClickjacking” Exploit Bypasses Clickjacking Protections on Major Websites

1. 攻撃の流れ

  • 攻撃者は、自身が管理するウェブサイトにユーザーを誘導します。
  • そのサイトでは、新しいブラウザウィンドウやタブを自動的に開く仕組みを用意しています。
  • ユーザーに、CAPTCHA認証や無害に見えるボタンをダブルクリックさせるよう促します。
  • ダブルクリックの間に、ページ内容やリンク先を悪意のあるものに切り替え、ユーザーをだますわけですが、たとえばそのリンク先が悪意のある OAuth アプリケーションの承認ページだと最悪です。※ OAuth については後ほど解説

2. ケーキの例え

ダブルクリックジャッキングは、以下のようなシナリオに例えられます。

  • カフェでケーキを注文するとき、「いちごショートケーキ」を選びたかったのに、クリック直前に「にんじんケーキ」に用紙をすり替えられる。
  • 結果として、気づかないうちに意図しないケーキを注文してしまう。

要するに、一瞬のすり替えです。

実際の被害例

OAuthアプリの悪用

攻撃者がダブルクリックジャッキングを用い、ユーザーをだまして不正なOAuthアプリへのアクセス許可を与えさせる事例があります。この攻撃により、攻撃者は被害者のSNSやメールアカウントへアクセスする権限を取得します。

そもそもOAuthとは?

OAuth(オーオース)は、インターネット上で特定の情報だけを安全に共有するための仕組みです。たとえば、カフェのクロークで「コートだけ取り出せる鍵」を渡されるように、アプリには必要最小限のアクセス権を与えることで、パスワードや他の情報を守ります。

例を挙げると、特定のカレンダーアプリがあなたのGoogleカレンダー情報を読み取る場合、OAuthを使って「Googleカレンダー情報だけ見られる鍵」をそのアプリに発行します。この仕組みのおかげで、アプリは必要な情報だけにアクセスでき、あなたのパスワードや他のGoogleサービスのデータは守られます。

しかし、攻撃者はこの仕組みを悪用して、ユーザーをだまし、より広範なアカウントデータに対する鍵を取得しようとします。具体的には、偽のアプリやサイトが「アクセス許可」を求め、実際にはSNSアカウントやメール、連絡先などのデータに関する鍵を取得し、不正アクセスするようなケースです。これは、ホテルのマスターキーをだまし取って全室に侵入するようなものです。

対策方法

1. ユーザーが取れる対策

  • 信頼できるサイトのみ利用する。
  • 突然現れるポップアップを避ける。
  • 2段階認証やセキュリティ通知を有効にする。

2. ウェブサイト運営者が取れる対策

  • 重要なボタンをデフォルトで無効化し、ユーザー操作が確認された後に有効にする。
  • ブラウザ標準を利用し、不正クリック操作を防ぐ仕組みを導入する。

まとめ

ダブルクリックジャッキングは、ユーザーのダブルクリック動作を悪用する高度な攻撃手法です。一瞬でリンクやページを切り替えるため、従来の防御策では対応が難しいケースもあります。日常的に信頼できるサイトのみを利用し、不審なポップアップやダブルクリックを避けることで、被害リスクを最小限に抑えられます。また、ウェブ開発者やブラウザ提供者も、より強力な防御策を導入する必要があります。

出典

TheHackerNews『New “DoubleClickjacking” Exploit Bypasses Clickjacking Protections on Major Websites