ブラウザのタブごと書き換えてしまうフィッシング手法「Tabnabbing」 22
おおこわいこわい 部門より
ある Anonymous Coward 曰く、
ユーザが気付かないうちにブラウザのタブの内容を書き換えてしまう新たなフィッシング手法「Tabnabbing」が報告されている (IDEA*IDEA のエントリー、Mashable の記事、本家 /. 記事より) 。
UI の専門家であり、Firefox 開発の主要メンバーでもある Aza Raskin 氏によって報告されたこの「Tabnabbing」は、ブラウザのアクティブでないタブの中身をユーザが気付かないうちにメールや銀行などの偽ログインページに書き変えてしまうという手法 (Aza Raskin 氏のブログ記事)。従来のフィッシング手口はメールなどのリンクからユーザを偽サイトに誘導しアカウント情報を盗むというものであったが、最近ではユーザの意識も向上し、怪しげなメールやリンクに対する警戒心も高くなっている。しかし Tabnabbing では開いているブラウザのタブの中身を (タブアイコンを含めて) 変えることができ、ユーザが気付かない可能性も高くなる。
氏のブログ記事に動画込みの詳しい説明が掲載されているが、このページ自体が Proof of Concept になっており、ページを開いてから他のタブを 5 秒間有効にすると、ブログページが Gmail のログイン画面 (の画像) に書き換えられるのを確認できる (Firefoxでのみ動作確認済) 。
この手法を応用すれば、CSSを利用してユーザが使っているサイトを検出し、それに合わせた攻撃を仕掛けることも可能となる。更にユーザがログイン状態にあるサービスを判別する手法を組み合わせたり、「セッションが切れました」といったメッセージを出すことによってより効果的な攻撃を仕組むことができるとのこと。現時点ではこれといった回避策はなく、ブラウザやプラグインを最新版にしておくことや、ログイン画面ではURLを確認するなどして気を付けるしかないという。
なお、この手法の名称が本家では「Tabnapping」、IDEA*IDEAでは「Tabnagging」などと紹介されているが、正しい名称は「Tabnabbing」であるようだ。
Chrome ではタブアイコンは変化しないもののページの書き換えが確認できた。
俺には関係ない (スコア:2, 参考になる)
ふぅなんだ、タブブラウズを無効にしてる俺には関係ない話だったな。よかったよかった。
あれ?俺いつの間にGmailなんて開いてたっけな?とりあえずログインしておくか。
# IE8タブブラウズオフで再現確認したので一応報告。
Re: (スコア:0)
「タブの切り替え」がきっかけじゃなくて「ページがフォーカスを失うこと」がきっかけになっているみたいです。
なのでブラウザから別アプリにフォーカスを移したり、アドレスバーにフォーカスを移すだけでも再現します。
Opera10.53で確認。
あと、これって任意のタブの内容じゃなくて「悪意あるページを開いているタブ」の内容を書き換えられるだけですよね?
もしそうならタレコミの「最近ではユーザの意識も向上し、怪しげなメールやリンクに対する警戒心も高くなっている」は関係ないと思います。
Re:俺には関係ない (スコア:1)
怪しげなリンクを踏んだらログイン画面、だと最近のユーザは引っかかりませんが、
怪しげなリンク踏んだら普通のサイトだったりブログだったりで、画像でもyoutubeでも何でもいいですがリンクが貼ってあって別ページへ誘導されて、そっち見てる間にもともとのサイトがGMailに化けてたら、うっかり騙されることもあるかもしれません。
今開いたタブのことは分かっていても、前に開いたタブのことは覚えていないかもしれません。
1を聞いて0を知れ!
Re: (スコア:0)
要するに Tabnabbing に引っかかった時は、既に怪しいリンクを踏んだ後の話なので、
つまりこのフィッシングに関しては「『警戒心も高くなっている』は関係ない」ってことですね。
Re:俺には関係ない (スコア:1)
まぁ、そういうことになりますが、今までと同じ方法で避けられたら初めっからニュースになりませんがな。
怪しくないことが確かなリンクのみを踏んでる人には関係のない話ですが、そうじゃない人が多いのですよ。
1を聞いて0を知れ!
Re:俺には関係ない (スコア:1)
「怪しいことが確かなリンクのみを踏んでる人」と空目した。
the.ACount
オフトピ (スコア:1)
って思ったけど自分のFirefoxにnoscript入ってたの思い出してディスプレイの前で真っ赤に
なってた。でもスクリプトをデフォでoffにするのって地味に大事だとも思った。ことにしておこう。
Re: (スコア:0)
Chrome の favicon (スコア:1, 参考になる)
> Chrome ではタブアイコンは変化しないもののページの書き換えが確認できた。
タレコミのリンク先 [azarask.in]に書いてありますが、Chrome で favicon が書き換わらないのはバグによるもので、Ver. 6.0.408.1 でフィックス済とのことです。
Re:Chrome の favicon (スコア:2)
Safariのfaviconは書き変わらない模様。
Safari 4.0.5で確認。
タブ内容は書き変わりましたけれどね。
Re: (スコア:0)
Tab Mix Plus (スコア:1)
Tab Mix Plusアドオンを使って、リロードしたページはタイトルの色が赤くなる
ように設定してましたが、このフィッシングだと赤くならずにこそっと書き換わる
んですね。
(ニュース系サイトを良く見るので、定期リロードがかかるのを分かりやすくする
ためにそう設定してます)
ある意味「あれ、さっき見てたのと名前違うじゃん」って気づきやすいような気が
して若干安心…していいものだろうか、ううむ。
はじける加齢の香り!orz
Re: (スコア:0)
自分もStylishで
ってやってるけど色が変わらず感心してしまいました。
#これだけだと読み込み終わると元の色に戻るけど、一瞬色が変わるだけでも視覚的にはかなり違うので。
CSSで取得ってことは (スコア:0)
楽天ad4Uで使われている手法と同じ?
またかよ! (スコア:0)
別の意味でがっくりきた (スコア:0)
Gmail開いたけど英語版の時点でおかしいと思ってしまった俺は逆にものすごい断絶感を味わった…。
Re: (スコア:0)
根本的な対策にはなりませんけど
被害にあう可能性を多少なりとも減らしてくれます。
WindowsでなくてLinuxやMachintoshを使うとか(BeOSやOS/2ならなお良い)、
IEでなくてOperaとかChromeとか(w3mやLynxならなお良い)。
英語を使わないというのも一つの見識かと思います。
なんだ (スコア:0)
・アドレスバーでドメインをちゃんと確認しろ。
・つーかブラウザがパスワードを補完しなかったら手打ちで入れるな。人間様が目視で確認するよりよほど確実。
ってだけのいつもの話じゃん。むしろ何が新しいのかさっぱりわからん。
アドレスバーも偽装できたらすごいんだがそれじゃ単なるブラウザの脆弱性か。
Re:なんだ (スコア:1, おもしろおかしい)
緊急避難用のタブをクリックしたらエロ画像が表示されたでござる
Re:なんだ (スコア:1)
アドレスバー自体を偽装しなくても、アドレスバー非表示にして偽アドレスバーを見せたら簡単に騙されるだろ?
the.ACount
Re: (スコア:0)
対策をユーザー・ブラウザ側に丸投げは良くない。
再ログイン要請である旨ユーザ名等の取得済み情報をログイン画面に明示するくらいの(今思えば)最低限の手間省略の氾濫に誰も疑問を持たなかったツケ
Re:なんだ (スコア:1)
> ユーザ名等の取得済み情報
これらがわからなくなった状態がタイムアウトではないんですか?