クリックしてはいけない！ クリックジャッキング Clickjacking

米Twitterで、ユーザーのクリックが乗っ取られて意図しない動作をさせられる「クリックジャッキング」攻撃が横行している。Twitterが防止措置を取った。

クリックジャキング Clickjackingとは、言葉どおり、クリック行為をジャックしてしまうということ。
悪意のあるウェブサイトへ誘因されると、ウェブサイトの画像やリンクをコントロールされてしまうというもの。JavaScriptと関係がないので、JavaScriptをoffにするなどの対応策が利かない。

Twitterのような、ミニブログであれば、ついつい、リンクを踏んでしまい、クリックジャッキングサイトでアンコントローラブルな状態に陥ってしまうということがあり得る。
回避方法は、端末のリスタート。
重要なデータをクラウドでやり取りしていたりしていた場合、この本体のリスタートに魔で及ぼす、ほど手痛い攻撃はない。

さらに、Twitter などでは、長いURLを短縮できる　tinyurl.com のサービスを採用しているので、レアなURLを隠す事ができるというので悪用される。

Enter a long URL to make tiny:

tinyurlのようなurl代替サービスも、転送先のurlが悪意あるサイトかどうかを自動判断する機能が必要になってきた。

セキュリティ技術は大事な技術だが、ほんの一部の悪意あるいたずらで、全体のパフォーマンスが落ちてしまう。セキュリティ技術も、守りのための技術であり、パフォーマンスをあげる方向には決して貢献されているものではない。

今後も、ムーアの法則でCPUパワーが18ヶ月ごとに2倍になっても、セキュリティパフォーマンスにかけるパワーも増えていくだろう。
すると、ムーアの法則で活かされている本当のパフォーマンスを計る方法も必要だろう。

ムーアの法則よりも、メトカーフの法則のほうが影響を受けているか…。