【PC】「ダブルクリック」を利用する新しく深刻な脅威、すべてのブラウザが攻撃対象

1 : 2025/01/11(土) 18:37:50.43 ID:cTINflOI9: 数億人のウェブユーザーが、新たに発見された危険なサイバー攻撃について警告を受けている。この攻撃はブラウザの種類を問わず、「ダブルクリック」さえすれば成立してしまう。以下に、「ダブルクリックジャッキング（ダブルクリックジャック攻撃）」について知っておくべきポイントをまとめる。

■ダブルクリックは危険、新たなハック攻撃が確認される

アプリケーションのセキュリティやクライアント側の攻撃手法を研究するパウロス・イベロは、多くの脆弱性や新しいセキュリティ脅威を発見してきた実績を持つ。そのイベロが、ウェブブラウザを使うほぼすべての人に影響しかねない新たな攻撃手法「ダブルクリックジャッキング」を明らかにした。自身のブログ投稿で、ChromeやEdge、Safariをはじめとするほぼあらゆるブラウザで、ユーザーがダブルクリックを行った際に認証情報を奪われてしまう具体的な方法を技術的に示している。

このまったく新しい脅威が成立するのは、ほとんどのウェブサイトとウェブブラウザにおいて、ユーザーに自覚させずにクリックさせる仕組みをハッカーが作り出せるからだ。従来のクリックジャッキングは、ブラウザ開発者が組み込んだ保護機能によって時代遅れのものになりつつあった。しかし、ダブルクリックジャッキングは、マウスのダブルクリックのタイミングを利用した攻撃層をもう一段追加することで、これらの防御を回避する。

被害者が画面上にあるCAPTCHAなどをクリックしているつもりのわずかな時間を突いて、実際にはログインやアカウント承認といった操作を承認させるわけだ。要するに、新たなウィンドウを開き、被害者にダブルクリックを促している間に、ハッカーが一瞬で別のウィンドウへコンテキストを切り替えてしまう。

筆者はアップル、グーグル、マイクロソフトにコメントを求めている。

■ダブルクリックジャッキングとは何か？

旧来のクリックジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウェブページ要素をクリックさせるためにさまざまな手法を用いる攻撃だ。典型的には、iframe（ウェブページ内に別のページを埋め込む仕組み）を使い、不可視のHTML要素や完全に不可視のページ自体を重ねて表示させる。こうすると、ユーザーは目に見える要素をクリックしているつもりでも、実際にはその上にある不可視要素をクリックしていることになる。

（省略）

イベロによれば、「わずかな違いに見えるかもしれませんが、ダブルクリックジャッキングは既存のクリックジャッキングの防御をすべて回避する新たなUI操作攻撃で、ほぼすべてのウェブサイトに影響し得るのです」という。さらに以下の理由により危険性が高いと指摘している。

・既存のクリックジャッキング対策を回避できる
・暗号資産ウォレットやスマートフォンへの攻撃にも応用可能
・ハッカーにとって新たな攻撃面を提供する
・あらゆるウェブサイトがデフォルトで脆弱
・被害者はダブルクリックするだけで攻撃が成立する

■ダブルクリックジャッキングの手口

ダブルクリックジャッキングの手口を詳細に解説したブログ記事の中で、イベロは攻撃者がこの手口をどのように悪用できるかの例を2つ挙げている。

1つは、OAuth（Open Authorization、異なるサイト間でユーザー認証を安全に行うための業界標準プロトコル）とAPI（Application Programming Interface、アプリケーション間で情報をやり取りする仕組み）の権限を悪用するケースだ。

OAuthは、アプリケーションやウェブサイトが、別のサイトでホストされているリソースに、別のユーザーに関連してアクセスできるようにするプロトコルだ。OAuthは、これを行うための業界標準の安全な方法……のはずだった。「攻撃者は、広範な権限を持つ悪意のあるアプリケーションを承認するようターゲットを欺く可能性がある」とイベロ氏は警告する。「この手法は残念ながら、OAuthをサポートするほぼすべてのサイト、つまりAPIをサポートする主要なウェブサイトのほとんどで、アカウント乗っ取りを起こしています」

もう1つとして、イベロはワンクリックでのアカウント変更攻撃を挙げている。これは、ダブルクリックジャッキングが「セキュリティ設定の無効化、アカウントの削除、アクセス許可や送金、トランザクションの確認など、アカウント設定の変更をユーザーにクリックさせるために利用できる」という点で、クリックジャッキングと類似している。

ランサムウェアなどが減少したからといって油断すべきではない。ハッカーは戦術を変えただけなのだ（以下ソース）

1/6(月) 17:00配信
https://news.yahoo.co.jp/articles/42e25bb4dbe45d13ca91f8753aa69f8a48e3654e
2 : 2025/01/11(土) 18:40:01.51 ID:MuLSjfRH0: クリックしたらいつの間にか偽装サイトに瞬時に変わってるのか
3 : 2025/01/11(土) 18:40:19.38 ID:jrXR+i9Q0: 通はシングルクリックだぞ
4 : 2025/01/11(土) 18:40:54.85 ID:oVLbR/A40: 低性能PCなら安全
5 : 2025/01/11(土) 18:41:39.68 ID:9SMMkATq0: 乳首ダブルクリックしちゃうぞ～
6 : 2025/01/11(土) 18:41:43.60 ID:dNouLZe60: チャタリングで勝手にダブルクリックになってしまう
7 : 2025/01/11(土) 18:41:43.65 ID:8pyWH6GC0: 下からでてくる見えない広告だろ
対策するわけ無いな
8 : 2025/01/11(土) 18:41:45.89 ID:8Lb5cKpp0: 特定の場所をクリックしようとしたときに
巨大広告が画面上から湧いて出てきて意図しない場所をクリックする問題と何が違う？

そもそもブラウザ操作中にダブルクリックとかしないし
9 : 2025/01/11(土) 18:42:00.82 ID:2zXWiZ+Y0: ブラウザに記憶させなきゃいい訳か
23 : 2025/01/11(土) 18:46:45.46 ID:F/Py6AuU0: >>9
今のところ、一番のバカレスです！
10 : 2025/01/11(土) 18:42:29.37 ID:+gdwARZB0: ダブルクリックって、使う事ある？
必須なのは、大昔のWindowsくらいだよね？
今は何でもワンクリックで済む
ましてブラウザ上でダブルクリックなんて使う事ないよね？
どんな時に使うの？
19 : 2025/01/11(土) 18:44:34.47 ID:4OampNoZ0: >>10
単語を選択状態にしたい時とか……
24 : 2025/01/11(土) 18:46:45.75 ID:kXoBE3hE0: >>10
おじいちゃんは指が震えてダブルクリックになっちゃう
11 : 2025/01/11(土) 18:42:36.97 ID:VvOAWqJj0: 乳首ダブルクリックしちゃうぞ！
12 : 2025/01/11(土) 18:42:45.96 ID:521VwLII0: ダブルクリックしなかったら安全
13 : 2025/01/11(土) 18:42:47.05 ID:cNRVpX240: OAuthについてほぼ全ての人が間違って理解しているな
このプロトコルはアクセス権限を他人に委譲するための仕組みでセキュリティホールを自発的に開けるものだ
14 : 2025/01/11(土) 18:42:59.20 ID:LiadhlJU0: 要は勝手にフォーカスを変えるってことかな
15 : 2025/01/11(土) 18:43:01.70 ID:xEnLRBrt0: 高橋名人でもムリなん？
16 : 2025/01/11(土) 18:43:13.85 ID:mZ006D4u0: 通はshift+クリックなんだが
30 : 2025/01/11(土) 18:49:16.08 ID:F/Py6AuU0: >>16
通は… とか言ってて楽しいのか？
17 : 2025/01/11(土) 18:43:28.03 ID:6kErbZXc0: スマホがワンタッチでアプリ開けるから
ダブルクリックする必要も無いと感じた
18 : 2025/01/11(土) 18:44:14.91 ID:tkQYRCj80: ブラウザっていうほどダブルクリック必要か
右クリックは結構使うけど
37 : 2025/01/11(土) 18:51:34.00 ID:f3mUrs900: >>18
ほとんどない。
ブラウザアプリでメニューが多い仕様のときに設定するぐらいだな。
ゲームなどならあるかもしれない。
21 : 2025/01/11(土) 18:46:38.44 ID:HSon5zxB0: なりすましか、そもそもSNSのアカウントがないわ
Linuxユーザーなので、Apple IDとかGoogle ID も使ってないわ
22 : 2025/01/11(土) 18:46:39.79 ID:eIKjCcnr0: ほんの数フレームで有害サイトって開けるもんなの？
25 : 2025/01/11(土) 18:47:24.60 ID:hbz0uR7a0: 頭良いな
26 : 2025/01/11(土) 18:48:33.05 ID:xEnLRBrt0: 慣れてない人の、クリック長押しからダブルクリックを見ると苛ついてしまう幼稚な俺。
27 : 2025/01/11(土) 18:48:41.47 ID:jIGp8i7i0: いまだにクリップボードの中身を暗号化させてから非同期送信する方法がjsで完結方法があるぐらいだからな。
ブラウザアクセスだとスマホはとくにやばい。
28 : 2025/01/11(土) 18:49:12.10 ID:v/FISIHi0: シングルクリックのOSさわると、楽だと感じるのは事実
29 : 2025/01/11(土) 18:49:14.83 ID:AyGwE4bM0: 「更新」押すと同じ位置に「アンインストール」が出るソシャゲ
32 : 2025/01/11(土) 18:50:07.86 ID:eu1+EyWz0: どうでもいい情報しかないバカのお前らには関係ない話だな
35 : 2025/01/11(土) 18:51:08.99 ID:F/Py6AuU0: >>32
ふーん

頭悪いとそんなの思いますか？
33 : 2025/01/11(土) 18:50:29.13 ID:EnnKiK3b0: ID・パスワードをブラウザに保存とかしてると
引っ掛かるってこと？
34 : 2025/01/11(土) 18:50:44.36 ID:RC/TjGRI0: 乳首ﾀﾞﾌﾞﾙｸﾘｯｸさせてくれる女子募集中
36 : 2025/01/11(土) 18:51:15.31 ID:uYQYvrt10: スマホ使いはそのあたりの操作の違い、動作の違いを理解してないことが多いからなぁ
「何でもいいじゃん。テキトー」
38 : 2025/01/11(土) 18:51:55.84 ID:X0lvJeHe0: NHK「いいこと思いついた」
62 : 2025/01/11(土) 19:05:35.00 ID:kp+g++vu0: >>38
契約に拘らなくていいだろ
政府と組んで人頭税にしてしまえ
39 : 2025/01/11(土) 18:53:36.57 ID:RDdeeaDP0: うちの会社のおっさんは常にダブルクリックしてる
注意してもひたすらダブルクリック
41 : 2025/01/11(土) 18:56:16.06 ID:jFeiTTJ80: >>39
それ
ゴミみたいな馬鹿はどうしようもない
基本自分で調べない
4ねよ
40 : 2025/01/11(土) 18:56:12.67 ID:oVLbR/A40: ブラウザってダブルクリックする必要無いだろそもそも
47 : 2025/01/11(土) 18:58:19.89 ID:jUN2Z0je0: >>40
文字列の範囲選択とかするとき使う
42 : 2025/01/11(土) 18:56:19.41 0: WEBサイトでダブルクリックする場面てないだろ
51 : 2025/01/11(土) 19:01:10.95 ID:jFeiTTJ80: >>42
馬鹿はリンク踏む時にダブルクリックするんだよ
そんな地獄にいます
43 : 2025/01/11(土) 18:56:22.42 ID:ZmQoC4ow0: ダブルクリックなんてエクスプローラでファイル開く時かショートカットでアプリ起動する時くらいしか使ってない気がする
44 : 2025/01/11(土) 18:57:05.71 ID:Se5gMBc60: Googleドライブはダブルクリックして使うな
45 : 2025/01/11(土) 18:57:44.45 ID:0CI+Na4a0: IE開く時はダブルクリックだな
IE使用禁止?
46 : 2025/01/11(土) 18:57:52.78 ID:66Mn+C/c0: 考えてみればブラウザでダブルはないな
48 : 2025/01/11(土) 18:58:35.78 ID:Q+Lb/QjS0: 夫は未だ体の傷を知らない・・・
49 : 2025/01/11(土) 19:00:35.29 ID:YXU9Va1G0: 手マンで鍛えあげてるから余裕で大丈夫
52 : 2025/01/11(土) 19:02:17.67 ID:EyvOyAnT0: 今ブラウザつかてみたらフォーカス移動する時にワンクリックぐらいだな
チャタリングは怖いな
マウスのプロパティでダブルクリックの閾値広げとこうかね
53 : 2025/01/11(土) 19:02:23.86 ID:+Yit9vHd0: 「ダブルクリックは危険」とか、もうどうしたらいいのよ。。
54 : 2025/01/11(土) 19:02:58.34 ID:CD3QQBVh0: よくわからん
55 : 2025/01/11(土) 19:03:36.49 ID:HeSUrbJj0: ブラウザなのにイベントフックで入力を横取りできる
のに気付いてからなんか違うと思っていたが・・
56 : 2025/01/11(土) 19:03:45.05 ID:aAGigCxQ0: マウスに勝手にダブルクリックになる症状が出て
接点復活剤というの買ったばかり
57 : 2025/01/11(土) 19:03:47.73 ID:kp+g++vu0: 画像を使わないブラウザを使えばいいな
58 : 2025/01/11(土) 19:04:10.54 ID:YC41iGSZ0: こわ
59 : 2025/01/11(土) 19:04:40.11 ID:OomXytQy0: >>1
ほんとアクセス稼ぎ目的は目に余る

全てのブラウザ？
攻撃成立条件をまず書いてみろよ雑魚w
60 : 2025/01/11(土) 19:04:55.55 ID:d3nGuRwA0: ハットトリック派の俺に死角無し
61 : 2025/01/11(土) 19:05:22.58 ID:ns50e6aK0: バツを何度押してもリンク先に飛んでしまう！
この！この！俺の指が！小指の先でこうやって！バツを狙ってこうして！まただ！クソが！
63 : 2025/01/11(土) 19:05:55.45 ID:GnTkh3iq0: ブラウザでダブルクリックの癖がついている奴やばいな
64 : 2025/01/11(土) 19:06:16.03 ID:yc5dP6h80: レッドチームが絡んでいるってことだな。
65 : 2025/01/11(土) 19:06:53.95 ID:TDlCLE3O0: トリプルクリックのオレは問題ナッシング
66 : 2025/01/11(土) 19:07:18.91 ID:VdoAwpQS0: 北朝鮮の海底ケーブルをズタズタに切れよ！
67 : 2025/01/11(土) 19:09:57.98 ID:EwKK0g/90: これワンクリックなら大丈夫なん？
最近って決定もワンクリックにしてる人が圧倒的に多いイメージあるけど
68 : 2025/01/11(土) 19:10:21.47 ID:rL9iPJDR0: サイトを左クリックしたら広告ウィンドウが開くやつどうにかならんかね、あれ。
69 : 2025/01/11(土) 19:11:03.56 ID:EOvqS65d0: ブラウザもエクスプローラも全部シングルクリック
70 : 2025/01/11(土) 19:11:31.56 ID:K5797Ckr0: NHK「これだ！」
71 : 2025/01/11(土) 19:13:53.85 ID:TDlCLE3O0: 高須クリニックにはご用心
72 : 2025/01/11(土) 19:15:47.82 ID:9D1bqRJh0: 原理的には確かにできるが、どうやってその悪意あるコードを挿入するのかね？