ダブルクリックジャッキング:すべてのクリックジャッキング対策を回避する新たなUI攻撃
2025-01-17
ダブルクリックジャッキングは、ダブルクリックイベントのタイミングを利用して、X-Frame-Optionsヘッダー、CSPのframe-ancestors、SameSite: Lax/Strict Cookieなど、既知のクリックジャッキング対策をすべて回避する新しい攻撃手法です。攻撃者は、一見すると無害なボタンをユーザーにダブルクリックさせ、ミリ秒単位でウィンドウを迅速に切り替えることで、悪意のあるアプリケーションの承認やアカウント設定の変更などの操作を乗っ取ります。mousedownイベントとonclickイベント間の微妙な時間差を利用することで、ダブルクリックの速度に関わらず効果を発揮します。一部のサイトでは、ユーザーの操作(マウスの動きやキーボード操作)が検出されるまでボタンを無効にすることでこの問題を軽減していますが、これはクライアント側の保護が必要です。長期的な解決策としては、この攻撃への防御を目的とした新しいブラウザ標準が必要です。