Webページなどでのクリックを乗っ取り、ユーザーが意図しないリンクやオブジェクトをクリックさせる危険性を備えた「クリックジャッキング (Clickjacking)」と呼ばれる脅威が話題になっている。9月末に米ニューヨーク市で行われたOWASP NYC AppSec 2008 Conferenceで、セキュリティ研究者のJeremiah Grossman氏とRobert Hansen氏が同脅威の詳細について講演する予定だったが、悪用をおそれたソフトウエアベンダーから対策期間を求められ、両氏が公表を延期したという経緯がある。だがクリックジャッキングの危険性に注目が集まり、米国時間の10月7日にはコンセプト証明のビデオが公開されるなど、実際の脅威となる可能性が高まっている。このような現状に対して、米Adobe Systemsは7日(現地時間)、セキュリティアドバイザリーを通じてFlash Playerでのクリックジャッキング対策を公表した。

クリックジャッキングは、ほぼ全てのWebブラウザ、そしてFlash、Silverlight、DHTML技術などで起こり得るという。詳細は公になっていないが、例えばインラインフレーム(Iframe)の背景を透明にし、中の文字も透明にすれば、ユーザーには不可視なハイパーリンク・オブジェクトになる。これをWebページのボタンの上などに配置すれば、ユーザーが意図しないリンクをクリックさせることが可能。ユーザーに気づかれることなく、悪意のあるぺージに呼び込める。

7日に公開されたコンセプト証明ビデオは「Camera ClickJacking - The Game」というタイトルだ。ボタンを追いかけてクリックするゲームのようなFlashアプリで、その途中でカメラとマイクへのアクセスが許可されてしまう。知らないうちに攻撃者にプライバシーを侵害される可能性を示す。このビデオを公開している人物は、一時的にコンセプト証明のライブデモも公開していた。

Grossman氏らによると、クリックジャッキングの問題は新しいものではなく、2000年後半頃から存在していた。危険性の指摘もあったが、根本的な対処には至らず長い年月を経てきた。しかも同じコンセプトから様々な手法での攻撃が可能であるため、JavaScriptをオフにするなどの簡単な対処では完全に防げないやっかいな問題になっている。

Adobeが7日に公開したFlash Playerの対策方法は、グローバルプライバシー設定で「常に拒否」を選択するというもの。これによりカメラとマイクへのアクセスへの許可を求めるダイアログが現れず、アクセスが常に禁止される。対象となるのは、現在の最新版であるAdobe Flash Player 9.0.124.0と以前のバージョンとなっている。これは一時的な対策であり、「クリックジャッキング問題を根本的に解決するFlash Playerのアップデートを10月末までに提供する計画だ」としている。