新しいSVGクリックジャッキング技術の概要

セキュリティ研究者により、従来のUI再描画攻撃の高度化を大幅に進歩させる新たなウェブエクスプロイト技術「SVGクリックジャッキング」が発表されました。これは、静的なオーバーレイでユーザーを騙して隠されたボタンをクリックさせる従来のクリックジャッキングとは異なり、攻撃者が正当なウェブサイトの上に複雑で応答性が高く、高度にインタラクティブな偽のインターフェースを作成することを可能にします。

従来の攻撃との違いと技術的詳細

この技術の核は、スケーラブルベクターグラフィックス（SVG）フィルターの巧妙な悪用です。通常、ブラー効果や色調変更といった視覚効果に使用されるこれらのフィルターが、この文脈では機能的な論理エンジンとして動作します。研究者のライラ・ホース氏は、標準的なSVG要素であるfeColorMatrix、feDisplacementMap、feCompositeを組み合わせて、AND、OR、XORのような論理ゲートを作成できることを発見しました。これにより、攻撃者はブラウザのレンダリングエンジン内で直接、機能的な「プログラム」を構築することが可能になります。

攻撃の仕組みと実演

重要な点として、これらのフィルターはクロスオリジンiframe（別のウェブサイト内に埋め込まれたサイト）からピクセルデータを分析し、画面上でリアルタイムに何が起こっているかに反応することができます。例えば、特定のダイアログボックスが開いたか、チェックボックスが選択されたか、エラーテキストが表示されたかなどを攻撃スクリプトが検出し、この視覚データに基づいてSVGフィルターが偽のオーバーレイを動的に更新します。これにより、ユーザーは無害なゲームや「人間であることを証明する」CAPTCHA（キャプチャ）と信じて操作している間に、実際にはGoogleドキュメントやメールサービスのような機密性の高いアプリケーション上でボタンをクリックしたり、テキストを入力したり、設定を切り替えたりするというシームレスな錯覚が生じます。

Googleドキュメントを標的とした概念実証（PoC）では、ユーザーがパズルを解いていると思い込んでいる間に、ドキュメントを生成させ、データを入力させる攻撃が実演されました。この攻撃は、本物のGoogleドキュメントのインターフェースを、ユーザーの入力にリアルタイムで反応する説得力のある偽のUIの背後に隠すことに成功しました。この発見に対し、Googleは3,133.70ドルのバグバウンティを授与し、このインタラクティブな再描画手法の深刻さを認識しました。

データ流出の新たな経路

この技術は、データ流出の新たな道も開きます。研究者は、ターゲットサイトから機密性の高いピクセルデータを読み取り、SVGフィルターによって完全に生成されたQRコードにエンコードできることを示しました。攻撃者はその後、ユーザーにこのコードをスキャンするよう促すことで、保護されたウェブサイトから情報を盗み出すことができ、ターゲットページへ直接アクセスすることなく情報窃取が可能となります。

セキュリティ業界への影響

この研究は、ブラウザベースの脅威の状況に大きな変化をもたらします。ブラウザ自身のグラフィックレンダリングツールを論理エンジンに変えることで、SVGクリックジャッキングは静的なウェブ攻撃に関する従来の多くの仮定を回避し、純粋な視覚要素でさえも複雑な不正行為を助長するために悪用され得ることを証明しています。

元記事: https://gbhackers.com/new-svg-technique-interactive-clickjacking-attacks/