タブナッピングやブラウザハイジャッカーからウェブサイトを保護する方法

タブを開いて、数分、数時間、または一晩でタブから離れることができたのは何回ですか。 そのタブに戻ったときに、再度ログインしなければならないことは予想外ではありません。 結局のところ、誰が各ページの更新スケジュールとログアウトタイマーを追跡しているのでしょうか。 私たちではありません！ ただし、この種の動作により、Webページはタブナッピングに対して脆弱になります。この種のサイバー攻撃は、電子メールプロバイダーやソーシャルメディアポータルなどの個人情報を扱うサイトのユーザーを食い物にします。 タブナッピングは、特にユーザーが開いているタブに関しては、ユーザーが精通しているWebサイトに対するユーザーの信頼と、細部への不注意に依存しています。

注：「 tabnapping 」が「 tabnabbing 」と書かれている場合があります。 「タブナッピング」という用語は、「タブ」と「誘拐」を組み合わせたものです。 「タブナビング」が「タブ」と「ナブ」の組み合わせであるのは当然のことです。 いずれにせよ、どちらも同じスキームを参照しており、この場合は「 tabnapping 」バージョンを使用します。

タブナッピングとは何ですか？

タブナッピングは、特定の種類のエクスプロイトおよびフィッシング攻撃です。 タブナッピングを使用して、攻撃者は人気のあるWebサイトになりすますWebサイトを作成します。 次に、ハッカーはユーザーを説得して、パスワードを含むログイン情報を偽のサイトに送信します。 多くの場合、偽のWebサイトは、ユーザーが見慣れている実際のWebサイトと非常によく似ているため、違いに気付くことはありません。 ユーザーは、Webサイトが本物であると考えており、いつものようにログイン情報を入力することを躊躇しません。

タブナッピングを他の種類のフィッシング攻撃（電子メール内のなりすましリンクをクリックするなど）と区別するのは、ユーザーは通常、タブが偽物であることに気付かないことです。 偽のログインページは、ブラウザで長時間開いているタブに読み込まれます。 ほとんどの人は、自分で開いたタブが乗っ取られたとは思わないでしょう。

タブナッピング攻撃は、攻撃者がユーザーが頻繁にロードするWebサイトを見ることができ、ユーザーが定期的にログインするサイトをシミュレートできる場合に特に成功します。

ログインを目的として銀行のWebサイトにアクセスするとします。自分でURLを入力して、ログインページに直接移動します。 しかし、その後、別のタブまたはウィンドウで何か他のことをすることに巻き込まれます。 1時間ほど経つと、ログインしてアカウントを確認する準備ができたので、[銀行]タブに戻ります。

タブナッピング攻撃の場合、その時点までに、ブラウザは銀行のページになりすましているページに移動しました。 ただし、100回アクセスして、その日に開いた銀行のページと同じように見えるページが表示されます。

タブナッピングのしくみ

ブラウザでは、HTMLHREF要素でtarget= _blank属性が指定されている場合、外部リンクを新しいタブまたはウィンドウで開くことができます。 残念ながら、これによりユーザーはタブナッピング攻撃に対して脆弱になります。 一部のブラウザでは、タブナッピングが設計上の欠陥と見なされることがあります。 ただし、ブラウザはハッキングや操作に対して意図的に脆弱ではありませんが、タブナッピングを可能にする設計は意図的なものです。

ページが読み込まれ、タブが長時間開いた後、ブラウザはそれらの非アクティブなタブでページの原点をナビゲートできます。 どのように？ それは同一生成元ポリシー、オンラインセキュリティの概念と関係があります。 これは、両方のWebページのオリジン（ホスト名、ポート番号、およびURIスキーム）が同じである場合に、ブラウザーが1つのWebページのスクリプトに別のWebページのデータへのアクセスを許可する場合です。 ポリシーの目的は、悪意のあるアクティビティを防ぐことです。 最初のページに悪意のあるスクリプトがある場合、他のWebページから機密データを取得することはできません。 ただし、このセキュリティ対策は、タブナッピングを可能にするものでもあります。

攻撃中、攻撃者はtarget = _blank属性を使用してWebページを送信し、悪意のあるリンクをそのページに埋め込みます。 ユーザーが悪意のあるリンクをクリックすると、新しいタブが開きます。 次に、ハッカーは最初のタブを偽のフィッシングページに変更します。 これにより、ユーザーは自分のアカウントからログアウトし、再度ログインする必要があると思い込ませます。

ウェブサイトの所有者がrel=” noopener”属性を使用してタブナッピングを防ぐ方法

一部のブラウザには、タブナッピング攻撃を防ぐ拡張機能やその他のセキュリティ対策があります。 ただし、正当な場合があるため、すべてのブラウザで非アクティブなタブリダイレクトを無効にできるわけではありません。 また、タブナッピングはあまり一般的ではないため（予防策としては十分に重要ですが）、これらのブラウザーベンダーは、セキュリティ強化のためにアプリケーションを破壊するリスクを冒したくありません。 つまり、一部のブラウザには、タブナッピングを防ぐためのソリューションやパッチがない場合があります。 ただし、読者に対するこの種の攻撃を防ぐために実行できる手順はまだあります。

Webサイトでのタブナッピングを防ぐには、新しいタブまたはウィンドウで開くように設定されているリンクにrel =” noopener”属性を追加します。 リンクを追加して[新しいタブで開く]を選択すると、WordPressはこの属性を自動的に追加します。

ただし、 rel =” noopener”はFirefoxや一部の古いブラウザでは機能しないため、追加する必要のある別の属性があります。rel=” noreferrer”は、最新の場合、WordPressが新しいタブのリンクに追加します。

WordPressを使用しているかどうかに関係なく、タブナッピングを防ぐためにリンクは次のようになります。

ユーザーがタブナッピングから身を守る方法

主要なブラウザには通常、悪意のあるサイトや感染した正当なサイトを排除するための何らかのフィルタがあります。 これらのサイトのブラックリストが最新である限り、タブナッピング攻撃はブロックされる可能性があります。 アクセスしようとしているサイトが侵害されたという通知を目にした場合は、その警告に注意してください。 冗談ではありません。

また、ユーザーは、ログイン情報を入力する前に、特に長い間開いたままのタブがある場合は、常にURLを確認する必要があります。 攻撃者が合法的なWebサイトのURLを偽造できる可能性は低いため、それが偽物であるという完全な景品になる可能性があります。 URLが赤いフラグを送信した場合は、すぐにタブを閉じてください。 入力したり、クリックしたり、操作したりしないでください。 閉じてください。

パスワードマネージャーも役立ちます。 ログインクレデンシャルが正規のWebサイトにリンクされている場合、それらは実際のWebサイトにいるときにのみ入力する必要があります。似たようななりすましサイトにいるときではありません。 パスワードマネージャーは、会社名ではなくURLと調整します。 ログインクレデンシャルのポップアップが表示されない場合は、タブを閉じて最初からやり直してください。

他の種類のブラウザハイジャッカーの脅威

知っておくべきブラウザハイジャッカーの脅威の種類は、タブナッピングだけではありません。 サイバー攻撃者には、クリックを獲得して情報を盗むためのさまざまな方法があります。 一般に、ブラウザハイジャッカーは、ブラウザの動作や表示方法を変更するソフトウェアであり、設定を変更する場合もあります。 もちろん、これはすべてあなたの同意なしに起こります。

その結果、ハッカーは収益を上げ、データを収集し、キーストロークを記録することさえできます。 最終的に、彼らはあなたの完全なプロファイルを構築するのに十分な情報を収集すれば、あなたの身元を盗むことができます。 ブラウザハイジャックの種類は次のとおりです。

• クリック課金型のポップアップ広告でブラウザを氾濫させるアドウェア。 このタイプの攻撃は、非常に多くのリソースを消費するため、通常、コンピューターの速度を低下させます。
• あなたがオンラインで何をしているのかを把握するためのCookie追跡。 悪意のある人物は、あなたの場所やIPアドレスから、どのページを表示し、何を検索するかまで、すべてを見つけることができます。
• 危険なウェブページや検索エンジンへのリダイレクト、またはホームページやデフォルトの検索エンジンの置き換え。
• 個人データを収集するスパイウェアは、データ市場で取引されます（これは多くの場合、個人情報の盗難で終わります）。

身を守るために、ブラウザの状態に注意し、上記のようなハッキングの明らかな兆候に注意してください。 ブラウザのアドオン、拡張機能、プラグインにも注目してください。 ソフトウェアのインストール後に問題が発生した場合は、すぐに削除してください。 また、定期的なクリーニングとキャッシュのクリアを使用して、ブラウザをクリーンに保つ必要があります。 そしてもちろん、ウイルス対策ソフトウェアを定期的に使用し、可能な限りパブリックWi-Fiやセキュリティで保護されていないWi-Fiの使用を避けてください。

まとめ

要約すると、タブナッピング攻撃は、ユーザーに自分でタブを開いたと思わせ、サイトがタイムアウトしたと思わせます。 元のページは2番目のページにリンクしており、2番目のページは元のページを書き換えてフィッシングサイトに置き換えることができます。 ユーザーは正当なページから始めたので、それが置き換えであることに気付く可能性はほとんどありません。 ページのデザインはオリジナルのように見えます。 ユーザーが「元の」ページにサインインすると、ユーザーの資格情報が別の場所に送信されます。

タブナッピングからできるだけ安全に保つために、自分で開いていないタブには絶対にログインしないでください。 また、タブを開いたと思っていても、しばらく非アクティブになってからログインページに戻った場合は、安全のために閉じてから、Webサイトに戻って新しいタブを開いてください。 常にURLも確認してください。 他のブラウザハイジャックの脅威に関しては、適切なブラウザの衛生管理を実践してください。使用するソフトウェアを制限して注意を払い、ブラウザのキャッシュを定期的にクリアして、高品質のウイルス対策ソフトウェアに投資してください。

また、Cookieのハイジャックとそれを防ぐ方法についての記事を読むことをお勧めします。

ブラウザをタブタップしたことがありますか？ コメントで教えてください！

Legend_art/Shutterstock.comによる注目の画像