タブナビング
タブナビング とは何ですか?
タブナビング背景タブや新たに開いたタブが密かに信頼されたログインページを装い、戻ってきたユーザーに再度認証情報を入力させようとする攻撃。
タブナビングは、操作されていないタブをユーザーがほとんど気にしないことを悪用します。古典的なタブナビングでは、ユーザーが離れたタブの JavaScript がタイトル・ファビコン・コンテンツを書き換え、Web メールや銀行サイトのような馴染みのあるログイン画面に偽装します。戻ってきたユーザーはそのままパスワードを入力しがちです。リバースタブナビングでは target="_blank" リンクを悪用し、新しいタブで開いた悪意あるページが window.opener を使って元のタブの URL をフィッシングサイトへ書き換えます。最新のブラウザは target="_blank" にデフォルトで rel="noopener" を適用しますが、レガシーコードは依然として脆弱です。対策には、外部リンクへの rel="noopener noreferrer" 付与、CSP、ユーザー入力 URL の noopener 付き open、そしてタブを切り替えた際に URL バーを確認するようユーザーへ周知することが含まれます。
● 例
- 01
ユーザーが開いたままにしていたタブが静かに Gmail のログインページ風に書き換わり、パスワードを要求する。
- 02
コメント内のリンクが新しいタブで悪意あるページを開き、window.opener を介して元のタブをフィッシングサイトへリダイレクトする。
● よくある質問
タブナビング とは何ですか?
背景タブや新たに開いたタブが密かに信頼されたログインページを装い、戻ってきたユーザーに再度認証情報を入力させようとする攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
タブナビング とはどういう意味ですか?
背景タブや新たに開いたタブが密かに信頼されたログインページを装い、戻ってきたユーザーに再度認証情報を入力させようとする攻撃。
タブナビング からどのように防御しますか?
タブナビング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
タブナビング の別名は何ですか?
一般的な別名: リバースタブナビング。