PR
図1 ラスキン氏のブログ(デモページ)にアクセスすると、新手口の解説が表示される
図1 ラスキン氏のブログ(デモページ)にアクセスすると、新手口の解説が表示される
[画像のクリックで拡大表示]
図2 別のタブに切り替えて5秒すると、タブのタイトルなどがGmailに切り替わる
図2 別のタブに切り替えて5秒すると、タブのタイトルなどがGmailに切り替わる
[画像のクリックで拡大表示]
図3 タブの内容もGmailのログインページに切り替わっている
図3 タブの内容もGmailのログインページに切り替わっている
[画像のクリックで拡大表示]

 米モジラの研究者エイザ・ラスキン氏は2010年5月25日、同氏の公式ブログにおいて、フィッシング詐欺に悪用可能な新しい手口とそのデモを公開した。Webブラウザーに表示されているタブの内容を、バックグラウンドで偽のログインサイトなどに変更してユーザーをだます。

 今回報告した手口は「タブナビング(tabnabbing:タブ盗み)」と名付けられた。この手口では、攻撃者はまず、ユーザーを攻撃者のWebページにアクセスさせる。このWebページは一見まともな内容にして、ユーザーを怪しませないようにする(図1)。

 ユーザーがタブを切り替えて、別のタブの内容をブラウザーに表示させると、攻撃者のWebページに仕込まれたプログラム(JavaScript)が動き出し、タブのタイトルとアイコン(ファビコン)、表示している内容を切り替える。

 ラスキン氏が公開するデモでは、別のタブに切り替えてから5秒後に、タブのタイトルや内容が、「Gmail」のログインページに切り替わる(図2)。アドレスバーの表示(URL)は元のページのままで、実際にはGmailのログインページではない。

 しかしながら、タブのタイトルや内容だけで、ユーザーは正規のログインページと判断するだろうとしている。ユーザーは、タブの内容が変わるとは思っていないからだ。ラスキン氏は「The attack preys on the perceived immutability of tabs.(この攻撃は、『タブの内容は不変』だと思うことを突いている)」と表現している。

 偽のログインページに切り替わったタブを見たユーザーは、何らかの理由でGmailがログアウトしたと判断し、偽ページにユーザー名とパスワードを入力して「ログイン」ボタンを押す(図3)。

 すると偽ページは、入力情報を攻撃者に送信した後、本物のGmailにリダイレクトする。実際にはログアウトしていないため、そのタブには本物のGmailページが表示されるので、ユーザーはだまされたことに気付かない。

 このような偽ページを作るのは容易で、短いプログラムで実現できるとしている。実際、ラスキン氏が公開しているプログラムコードは100行程度である。

 デモではGmailをかたっているが、どのようなサービスでも攻撃対象になる。何らかの方法でユーザーが利用しているサービスを特定し、そのサービスのログインページなどにタブを切り替えるような「標的型攻撃(Targeted Attacks)」も可能だろうとしている。

 このような手口が可能になるのは、ユーザー名とパスワードによるユーザー認証に問題があるためだとし、今後は、より安全な認証方法が必要だとラスキン氏は結んでいる。