タブジャッキング/タブナビング:それはなんですか?
ささやかなブラウザタブは、今日では当たり前のことですが、ほとんどの人は、インターネットサーフィンに与える影響について考えたことがないでしょう。このコンセプトは20年以上前にNetCaptorと呼ばれる現在はあまり知られていないブラウザーに最初に登場しました。採用は当初はゆっくりでしたが、OperaとFirefoxが2000年代初頭に導入すると、MicrosoftのInternet Explorerには他に選択肢がないことに気づきましたが、パックに従うため、タブが標準になりました。
今日では、複数の異なるタスクに同時に集中できる柔軟性を備えています。ブラウザのタブのおかげで、ウェブページをすばやく切り替えることができ、必要なリソースをほんの数秒で見つけることができます。タブは非常に便利ですが、非常に優れた攻撃経路にもなります。
Table of Contents
タブナビングまたはタブジャッキングとは何ですか?
この概念が最初に議論されたのは約10年前で、セキュリティ研究者が単純だが巧妙な手法でサイバー犯罪者が非常に巧妙なフィッシング攻撃を阻止できることに気付いたときです。これがシナリオです。
仕事中に、常に開いておく必要のあるブラウザのタブが約12個あるとします。タブで開かれたWebサイトの1つは、JavaScriptコードを挿入したハッカーによって以前に侵害されています。別のタブに注目している間、悪意のあるコードは開いたタブのコンテンツを静かに変更し、自分でロードしたWebサイトの代わりに、Gmailのログインページの悪意のあるカーボンコピーを表示します。ある時点で、開いたすべてのタブをたどると、サインインプロンプトが表示されます。 Gmailが自動的にアカウントからログアウトしたと考え、ユーザー名とパスワードを入力すると、悪意のあるJavaScriptコードが資格情報を詐欺師に送信し、さらに信頼できるようにするために、実際のGmailにリダイレクトします。実際にアカウントからログアウトしたことがないため、受信トレイの内容が表示され、何も疑われません。
ご覧のとおり、これは巧妙な攻撃ですが、被害を受ける可能性はどのくらいありますか?
Tabnabbingはサイバー犯罪者に人気を獲得するのに苦労しています
2010年、 ブライアンクレブスは攻撃について詳細に説明し、従来のツールやハッカーの取引よりも多くの利点があることを説明しました。当時、情報セキュリティの専門家はすでにいくつかの概念実証ページを考え出し、タブナブが実際にどのように機能するかを示していました。それ以来、いくつかの技術的な困難を克服したさらに洗練されたデザインを見てきました。ただし、これらはすべてセキュリティ研究者によって公開されたものであり、ユーザーを害するのではなく、ユーザーを保護および教育するという考えで表示されていました。
疑いを持たないインターネットユーザーに対する大規模なタブナブ攻撃はまだ見ていません。とりあえず当分の間、詐欺師たちは人々の資格情報を盗むために、より伝統的なスキームを使用することを好むようです。この決定を正当化することは容易ではありません。
実際、タブナブはWebサイトを危険にさらし、それにコードを挿入することを伴い、技術的な課題が増えます。ただし、同時に、この場合、古典的なフィッシングキャンペーンに関与するソーシャルエンジニアリングはありません。おそらく、詐欺師のほとんどは、実証済みの方法の結果に満足しており、追加のイノベーションは努力に値しないと考えています。そうは言っても、脅威を過小評価してはなりません。
タブナブから身を守るために何ができますか?
明らかに、タブ操作攻撃は、アクティブでないタブを閉じる習慣のないユーザーに対してのみ機能します。残念ながら、多くの人にとって、使用するタブの数を減らすことは言うより簡単です。それにもかかわらず、より良いタブ管理は常に役立ちます。専門家は、複数のブラウザウィンドウを使用し、それらにさまざまなタスクのセットを配置することについてアドバイスします。絶対確実ではありませんが、疑わしいものを見つけるのに役立つ場合があります。
技術的な観点から、 No Scriptなどの拡張機能を使用して、潜在的に悪意のあるコードがサイレントにページを更新したり、偽のログインフォームを読み込んだりしないようにすることができます。ただし、すべてのJavaScriptコードをブロックすると、お気に入りのWebサイトの多くが適切に機能しなくなり、大多数のユーザーにとって、停止する必要のあるスクリプトを手動で選択するのは非常に困難です。
あなたを本当に救うことができるのは、細部へのあなた自身の注意です。すでに述べたように、タブナブ攻撃は偽のログインフォームに依存しています。偽のログインフォームの良い点は、偽装しようとしているドメインでホストできないことです。ユーザー名とパスワードを入力する前にブラウザのアドレスバーを再確認する習慣を身に付ければ、タブナブと従来のフィッシングの両方から身を守ることができるでしょう。