WEBブラウザを狙った攻撃手法

date_range 2024/07/18
エンジニアインターン
image

こんにちは、WEBプログラマーコースの池田駿です。


本日はWEBブラウザを狙った攻撃手法をいくつか紹介します。

ガーディアンにも大いに関係のあるテーマだと思うのでぜひ読んでいってください!


1.ドライブバイダウンロード(DBD)

これはとても怖ろしい攻撃で、悪意のあるWEBサイトにアクセスしただけで

知らないうちにマルウェアや不正プログラムをダウンロードさせて感染させる攻撃です。

この攻撃の怖いところはポップアップでYESと答える、などの明示的なダウンロード操作をしなくても、

正規のプログラムやOSの脆弱性を利用してダウンロードを実行するのでユーザが気づけないところです。

例えば2009年ごろから被害が拡大しだした「ガンブラー攻撃」もこの一種で、

WEBサイトを開いた時点で不正なJavaScriptなどのコードが実行され、

Adobe Flash Player や Windows Office の脆弱性を突いたダウンロード攻撃が行われました。

対策としては既知の脆弱性に対応するしかないので、アプリやOSのアップデートなどです。


2.クリックジャッキング

これも怖いです。CSSを用いてWEBページ上に透明なボタンやリンクを配置しておき、

悪意のあるサイトなどに誘導する方法です。サイトが二枚重ねになっているようなイメージです。

対策としてはWEBサイト側でブラウザに表示する際にHTTPレスポンスヘッダの「X-Frame-Option」

というものの制限をして、二枚重ねのサイトをブロックすることです。



3.クロスサイトスクリプティング(XSS)

これはユーザがブラウザ上で入力した値をWEBサーバがそのまま出力し、

受信したブラウザがその値を用いるサイトにおいて、値部分に不正スクリプトを書いて

行う攻撃です。例えばJavaScriptはHTMLの中に<script>というタグを挿入すれば実行できます。

これをそのサイトを閲覧している多数のブラウザを標的に実行し、

例えばポップアップなどを出させて不正なサイトに誘導したりするわけです。

対策としては、サーバ側が入力値を制限したり、WAFを導入したりすることです。

(WAFなどのサーバのセキュアなネットワーク構造についてはまた改めて...)



4.HTTPヘッダインジェクション

これはヘッダに含まれるサイトのURLを別のものに書きかえて悪意のあるサイトにリダイレクトする方法です。

開きたいサイトと違うサイトが開かれたらこれです。

対策としてはこの攻撃に用使われる文字(改行文字)をHTTPレスポンスヘッダへ出力するのを制限することなどです。


ちょっと難しい話でしたが、世の中にこんな攻撃があるんだということは知っておくと

いざというときに焦らずに済むと思います。


活動日記のおかげで毎日コツコツ勉強できていて感謝しています。

何か個人的に勉強していることがある人はコメントで教えてください!





参考文献:

技術評論社「情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書」

IPA公式サイト(https://www.ipa.go.jp/security/vuln/websecurity/clickjacking.html

*COMMENT*

  • 西峯 なお

    西峯 なお

    更新日:2024-07-18 18:18

    *コメント*

    入力欄を見かけたらとりあえずconsole.log入れてみる遊びがあるらしい……
    やらないほうがいいですね。

    *コメント*

  • 鈴木 健太

    鈴木 健太

    更新日:2024-07-19 10:09

    *コメント*

    大変勉強になりました!
    参考文献読んでみます。
    勉強している(し始める)ことといえば、Linuxの勉強しようと思い、本を買ってつい先日届きました!平日は疲れ果てて寝てしまうので週末に取り組んでみようと思っています。

    *コメント*

  • 生尾 ゆうこ

    生尾 ゆうこ

    更新日:2024-07-19 13:55

    *コメント*

    お疲れ様です。
    説明に加えて対策まで知ることができ、とても勉強になりました。
    こういう手法って日々巧妙化していくので、こちらも最新の情報を入れておかないとですね> <

    *コメント*

  • 北原 ゆきの

    北原 ゆきの

    更新日:2024-07-21 09:13

    *コメント*

    クリックジャッキング、XSS・・知りませんでした💦
    ちゃんと対策法も、参考文献も載せてくださり安心できます。
    情報元を確かめることは標準装備として自分の中にあるつもりでしたが、そこからもう一歩踏み込んでちゃんと自分の知識にしなければ!と思いました。ありがとうございます。
    情報セキュリティに関する最新の理解は必須ですね。気をつけます。

    *コメント*

  • 百田 忠将

    百田 忠将

    更新日:2024-07-23 12:40

    *コメント*

    攻撃の手法に関しては日々様々なものが増えてきていますね。
    攻撃手法を認識しておく事で、備えや適切な対応がとれるようになるので、色々情報を収集しておく事も大切ですね!

    *コメント*

*コメント*

*ログイン*

メールアドレス
パスワード

NEW