攻撃と脅威
タブナビング
別称: リバースタブナビング
定義
背景タブや新たに開いたタブが密かに信頼されたログインページを装い、戻ってきたユーザーに再度認証情報を入力させようとする攻撃。
タブナビングは、操作されていないタブをユーザーがほとんど気にしないことを悪用します。古典的なタブナビングでは、ユーザーが離れたタブの JavaScript がタイトル・ファビコン・コンテンツを書き換え、Web メールや銀行サイトのような馴染みのあるログイン画面に偽装します。戻ってきたユーザーはそのままパスワードを入力しがちです。リバースタブナビングでは target="_blank" リンクを悪用し、新しいタブで開いた悪意あるページが window.opener を使って元のタブの URL をフィッシングサイトへ書き換えます。最新のブラウザは target="_blank" にデフォルトで rel="noopener" を適用しますが、レガシーコードは依然として脆弱です。対策には、外部リンクへの rel="noopener noreferrer" 付与、CSP、ユーザー入力 URL の noopener 付き open、そしてタブを切り替えた際に URL バーを確認するようユーザーへ周知することが含まれます。
例
- ユーザーが開いたままにしていたタブが静かに Gmail のログインページ風に書き換わり、パスワードを要求する。
- コメント内のリンクが新しいタブで悪意あるページを開き、window.opener を介して元のタブをフィッシングサイトへリダイレクトする。
関連用語
クリックジャッキング
攻撃者ページ内に対象ページを覆い被せたり隠したりして、ユーザーが見ているものとは別の要素をクリックさせる UI 詐欺攻撃。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
Open Redirect
Open Redirect — definition coming soon.
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
Content Security Policy (CSP)
Content Security Policy (CSP) — definition coming soon.
水飲み場攻撃
特定の利用者集団がよく訪れるウェブサイトを侵害し、彼らが閲覧した際に感染させる標的型攻撃。