数百万人のユーザーが、新たに発見された危険なサイバー攻撃に関する警告を受けている。この攻撃はブラウザの種類を問わず、「ダークリンク」さえあれば成立してしまう。以下に、「ダークリンク」について知っておくべきポイントをまとめる。

ダークリンクは危険、新たなハック攻撃が確認される

アプリケーションセキュリティのセキュリティリサーチャーやクラウドセキュリティの専門家は、多くの脆弱性や新しいセキュリティ脅威を発見してきた。その中にはユーザーを利用するバッドアクターとして知られる新たなサイバー攻撃の手法「ダークリンク挿入攻撃」が含まれている。この手法は、ウィルスを使うよりも全ての人に影響しない新たな攻撃手法「ダークリンク挿入攻撃」を明らかにした。自動のブログ投稿で、ChromeやEdge、Safariなどを始めとする多くのブラウザで、ユーザーがダークリンクを行った際に認証情報を奪われてしまう具体的な方法を技術的に提示している。

この新たな脅威が成立するのは、おそらくのユーザーサイトにおいて、ユーザーに自覚させずにクリックさせるアクティビティが発生するからだ。今後のクリックスジャッキングは、ブラウザ開発者が組み込む保護機能により、時代遅れのものになるだろう。しかし、ダークリンク挿入攻撃は、マルスのダークリンクのタイミングを利用した攻撃層をもう一段加えることで、これらの保護を回避する。

被害者が画面上にあるCAPTCHAなどをクリックしているときに、実際にはログインやアカウント認証を求める操作を認識させるわけだ。要するに、新たなインジェクトを開き、被害者にダークリンククリックを促している間に、ハッカーが一瞬で別のインジェクトへコンテキストを切り替えてしまう。

著者はアプリ、グーグル、マイクロソフトにコメントを求めている。

ダークリンク挿入攻撃とは何か？

従来のクリックスジャッキングとは、ユーザーに見えない要素や、別のものに偽装されたウィンドウをクリックさせるために用いられる攻撃である。典型的には、iframe（隠れた要素に別のページを埋め込み）を使い、見えないHTML要素や完全に見えないページ自体を重ねて表示させる。こうすることで、ユーザーは目に見える要素をクリックしているつもりだが、実際にはその上にある見えない要素をクリックさせられている。

セキュリティリサーチ企業Impervaの研究者によると、かつてはlikejackingやcursorjackingと呼ばれる手法も観測された。likejackingは、ユーザーが気づかないうちに「いいね！」ボタンを押させる悪質な手法であり、cursorjackingはインターフェース上でユーザーが思っているカーソル位置と実際の位置をずらすことで、被害者が考えているコントロール位置をずらして操作させる手法である。これらは数年間にわたって修正が進んでおり、主要なブラウザの保護によりクリアクセスする自体はまれだ。そして、Defense in Depthの観点からも重要なところであり、クリックスジャッキングによるセキュリティ上の考慮がある。