Tabnabbing とは

Tabnabbingは、コンピュータの悪用やフィッシング攻撃で、ユーザーがそのサイトを偽装してそのサイトが本物であることを確信させることで、一般的なWebサイトにログインの詳細とパスワードを送信するように説得します。攻撃の名前は、セキュリティ研究者でありデザイン・エキスパートのAza Raskinによって2010年初頭に作られました。この攻撃は、タブに関する詳細やユーザーの信頼に惑わされず、最新のWebページがページを読み込んだ後に長い時間タブとその内容を書き換える機能を利用しています。 Tabnabbingは、難読化されたリンクをユーザーがクリックするのではなく、ブラウザの開いているタブのいずれかで偽のページを読み込むという点で、ほとんどのフィッシング攻撃と逆の動作をします。
このエクスプロイトでは、平均的な関心のあるページにスクリプトを採用しています。このスクリプトは、しばらくページを放置した後、よく知られているウェブサイトの偽装でページを書き換えます。しばらく後に戻って書き換えられたページを見るユーザーは、そのページが合法であると信じて、不適切な目的のために使用されるログイン、パスワードおよびその他の詳細を入力するよう誘導される可能性があります。スクリプトは、ユーザーが過去に読み込んだ有名なWebサイトや他のタブでスクリプトをチェックし、同じサイトのシミュレーションを読み込むと、攻撃が成功する可能性が高くなります。この攻撃は、指定された時間間隔の後に指定された新しいページのリロードを引き起こすページリダイレクションに使用されるHTML属性である「meta refresh」メタ要素を使用して、JavaScriptが無効になっている場合でも実行できます。
Mozilla FirefoxのNoScript拡張機能は、非アクティブなタブがページの場所を変更しないようにすることによって、メタリフレッシュに基づくJavaScriptベースの攻撃とスクリプトレスの攻撃の両方を防ぎます。