タブジャッキング/タブナビング:それはなんですか?

Tabnabbing Tabjacking

ささやかなブラウザタブは、今日では当たり前のことですが、ほとんどの人は、インターネットサーフィンに与える影響について考えたことがないでしょう。このコンセプトは20年以上前にNetCaptorと呼ばれる現在はあまり知られていないブラウザーに最初に登場しました。採用は当初はゆっくりでしたが、OperaとFirefoxが2000年代初頭に導入すると、MicrosoftのInternet Explorerには他に選択肢がないことに気づきましたが、パックに従うため、タブが標準になりました。

今日では、複数の異なるタスクに同時に集中できる柔軟性を備えています。ブラウザのタブのおかげで、ウェブページをすばやく切り替えることができ、必要なリソースをほんの数秒で見つけることができます。タブは非常に便利ですが、非常に優れた攻撃経路にもなります。

タブナビングまたはタブジャッキングとは何ですか?

この概念が最初に議論されたのは約10年前で、セキュリティ研究者が単純だが巧妙な手法でサイバー犯罪者が非常に巧妙なフィッシング攻撃を阻止できることに気付いたときです。これがシナリオです。

仕事中に、常に開いておく必要のあるブラウザのタブが約12個あるとします。タブで開かれたWebサイトの1つは、JavaScriptコードを挿入したハッカーによって以前に侵害されています。別のタブに注目している間、悪意のあるコードは開いたタブのコンテンツを静かに変更し、自分でロードしたWebサイトの代わりに、Gmailのログインページの悪意のあるカーボンコピーを表示します。ある時点で、開いたすべてのタブをたどると、サインインプロンプトが表示されます。 Gmailが自動的にアカウントからログアウトしたと考え、ユーザー名とパスワードを入力すると、悪意のあるJavaScriptコードが資格情報を詐欺師に送信し、さらに信頼できるようにするために、実際のGmailにリダイレクトします。実際にアカウントからログアウトしたことがないため、受信トレイの内容が表示され、何も疑われません。

ご覧のとおり、これは巧妙な攻撃ですが、被害を受ける可能性はどのくらいありますか?

Tabnabbingはサイバー犯罪者に人気を獲得するのに苦労しています

2010年、 ブライアンクレブスは攻撃について詳細に説明し、従来のツールやハッカーの取引よりも多くの利点があることを説明しました。当時、情報セキュリティの専門家はすでにいくつかの概念実証ページを考え出し、タブナブが実際にどのように機能するかを示していました。それ以来、いくつかの技術的な困難を克服したさらに洗練されたデザインを見てきました。ただし、これらはすべてセキュリティ研究者によって公開されたものであり、ユーザーを害するのではなく、ユーザーを保護および教育するという考えで表示されていました。

疑いを持たないインターネットユーザーに対する大規模なタブナブ攻撃はまだ見ていません。とりあえず当分の間、詐欺師たちは人々の資格情報を盗むために、より伝統的なスキームを使用することを好むようです。この決定を正当化することは容易ではありません。

実際、タブナブはWebサイトを危険にさらし、それにコードを挿入することを伴い、技術的な課題が増えます。ただし、同時に、この場合、古典的なフィッシングキャンペーンに関与するソーシャルエンジニアリングはありません。おそらく、詐欺師のほとんどは、実証済みの方法の結果に満足しており、追加のイノベーションは努力に値しないと考えています。そうは言っても、脅威を過小評価してはなりません。

タブナブから身を守るために何ができますか?

明らかに、タブ操作攻撃は、アクティブでないタブを閉じる習慣のないユーザーに対してのみ機能します。残念ながら、多くの人にとって、使用するタブの数を減らすことは言うより簡単です。それにもかかわらず、より良いタブ管理は常に役立ちます。専門家は、複数のブラウザウィンドウを使用し、それらにさまざまなタスクのセットを配置することについてアドバイスします。絶対確実ではありませんが、疑わしいものを見つけるのに役立つ場合があります。

技術的な観点から、 No Scriptなどの拡張機能を使用して、潜在的に悪意のあるコードがサイレントにページを更新したり、偽のログインフォームを読み込んだりしないようにすることができます。ただし、すべてのJavaScriptコードをブロックすると、お気に入りのWebサイトの多くが適切に機能しなくなり、大多数のユーザーにとって、停止する必要のあるスクリプトを手動で選択するのは非常に困難です。

あなたを本当に救うことができるのは、細部へのあなた自身の注意です。すでに述べたように、タブナブ攻撃は偽のログインフォームに依存しています。偽のログインフォームの良い点は、偽装しようとしているドメインでホストできないことです。ユーザー名とパスワードを入力する前にブラウザのアドレスバーを再確認する習慣を身に付ければ、タブナブと従来のフィッシングの両方から身を守ることができるでしょう。

Duran
April 3, 2020
Password Security
日本語
April 3, 2020
Password Security

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。