タブナビング(Tabnabbing)とは

タブナビング(Tabnabbing)とは、Webブラウザーのタブ表示機能を利用したフィッシングの一種で、ブラウザーのアクティブでないタブの中身をユーザーが気づかないうちにSNSや銀行などの偽ログインページに書き変えてしまうという攻撃手法。

Firefoxの主要開発者の一人であるアザ・ラスキン (Aza Raskin) 氏によって報告された。同氏のブログで攻撃のデモを確認できる。デモの内容は以下の通りだ。

(1)ラスキン氏のブログを開いた状態で、他のタブのページを表示して5秒程度ほど待つ。
(2)非アクティブだったラスキン氏のブログの内容がいつの間にかGmailのログイン画面(の画像)に書き換えられる
(3)Gmailのログイン画面に変わった後でもURLはラスキン氏のブログのままであるが、タブのタイトル、ファビコンやページの内容がGmailのものに切り替わっている(以下の写真参照)。

タブのタイトル、ファビコンやページの内容がGmailのものに切り替わっている
(4)書き換えられたページをクリックすると元のラスキン氏のブログに戻る。このサイトはデモだが、悪意ある人物に悪用された場合は偽のログインページからログイン情報が盗まれることになる。

なお、攻撃の詳細な仕組みについても、ラスキン氏のブログに掲載されている。

このように、タブナビングの不正なスクリプトを含むページを開いた状態で新しいタブを開くと、ユーザーが気づかないうちにスクリプトが実行され、ページが書き換えられてしまう仕組みだ。複数のタブを開いていると、ユーザーはタブを見てもページのURLまでは確認しないことが多い。こうした習慣を悪用して、セッションの時間切れを通知する画面と組み合わせてユーザーのログイン情報を詐取する可能性などが指摘されている。

現時点では、タブナビングに対するこれといった回避策はないため、ログイン画面では常にロケーションバーのURLを目視確認することなど基本的なフィッシング対策が推奨される。

(英文)Tabnabbing: A New Type of Phishing Attack(Aza Raskin氏のブログ)
いつの間にかタブが化ける、フィッシング攻撃の新手「タブナビング」とは?(マイコミジャーナル)
ブラウザーのタブを使ったフィッシングの最新手法『Tabnagging』が巧妙すぎる件...(IDEA*IDEA)
ブラウザーのタブごと書き換えてしまうフィッシング手法「Tabnabbing」(スラッシュドット・ジャパン)

セキュリティ用語辞典一覧ページへ

関連キーワード:

Firefox

Tabnabbing

タブナビング

フィッシング

  • 第3回 IT駄洒落コンテストNEO・結果発表!
  • カテゴリートップへ
  • 「情報セキュリティ安心相談窓口」を開設