ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

クリップボードを乗っ取る悪質Flash広告が登場

hayakawaによる 2008年08月22日 9時59分の掲載
クリップボードも信用できない時代到来部門より。
セキュリティ

あるAnonymous Coward 曰く、

FlashのSystem.setClipboard()メソッドを悪用し、クリップボードの内容を偽セキュリティソフト配布用URLで上書きする悪質なFlash広告が確認されている(IT Proの記事sofos.com本家/.)。

このFlash広告は通常のサイト(Newsweek/Digg/MSNBCなどで確認されている)に掲載されており、そのサイトにアクセスすると偽セキュリティソフト配布サイトのURLがクリップボードにコピーされてしまう。この状態でWebブラウザのアドレスバーにペーストしページを表示させると、偽セキュリティソフトの配布サイトにアクセスしてしまう。メールや掲示板などからURLをコピペするのは頻繁に行われる動作であり、またユーザが普段からアクセスしているサイトに仕込まれる形となっているため被害に繋がっているようだ。

なお、本家にてこの手法の無害なデモ版が紹介されている。
注)デモにアクセスするとクリップボードにURLがコピーされる。これを初期化するにはデモのウィンドウを閉じる必要がある。

クリップボードを乗っ取る悪質Flash広告が登場 | ログイン/アカウントの作成 | 22 個のコメント | コメント検索
表示オプション しきい値:

  • 10年前に通った道 (スコア:4, 参考になる)

    grobda (4894) : 2008年08月22日 12時15分 (#1407743)
    とりあえずきらめき宝石箱 [wikipedia.org]貼っておきますね。

    『きらめき宝石箱』では起動中常時クリップボードを「コピー禁止」の警告画像で書き換えている。また、『きらめき宝石箱』のそれは、般若面の藤崎詩織が振り返りながら凶悪な笑顔で恫喝しているという内容であり、一種のマインドクラッシャーとも受け取られかねないものだった。
    『うきうき弁当箱』以降の3作はPrintScreenキー押下によるハードコピー時のみクリップボードが「コピー禁止」の警告画像に書き換えられるように改良されている。
  • セキュリティを考慮して、Flashからのクリップボード操作はテキストの書き込みのみで読み込みはできないのが仕様。Javascriptでも同様に書き込みのみができるはず(但しこちらはIE7とかでは上部に警告が出るようになったんだと思った)。

    クリップボードに変なテキストを設定するような悪戯スクリプトなんかはたまに見たが、言われて確かにSPAM用途でも使われそうな機能だなぁ。

  • 身近?な応用例 (スコア:3, 興味深い)

    Anonymous Coward : 2008年08月22日 11時12分 (#1407713)
    あらゆるスポーツイベントにカメラマンを派遣して、片っ端から参加者の写真を撮って
    欲しい人だけに販売するオールスポーツコミュニティ [allsports.jp]というサイトがあるんですが
    自分の写真を見つけて友人に「ほらほら」とか教えようとしても、クリップボードが上書きされて
    URLがコピーできない仕様になってます。正直かなりイラつきます(笑)

    …というのを体感したので、クリップボードの乗っ取りというのは理解はしていたんですが
    spam(≠SPAM)に使うことまで思いつかなかった。なるほどなぁ。

  • OS関係なく出そう (スコア:3, 参考になる)

    Anonymous Coward : 2008年08月22日 12時25分 (#1407747)
    当方の環境(Linux:Fedora8+konqueror+AdobeのFlashplayer)でも現象確認できました。
    たしかに発想の転換ですねこれは。。。

  • うへぇ (スコア:3, 参考になる)

    Tatenon (20311) : 2008年08月22日 15時09分 (#1407871) 日記
    「無害なデモ版」を試してみたが、これが開いてる間は他の作業しててもクリップボードによるコピー&ペーストが一切使い物にならない。
    酷いなこれは。

    # 他の文字列コピーしても瞬時に書き換えられてるっぽい。
    # 試しに開いた状態と閉じた状態でCPU使用率を比較してみたが、4コア全てに20%近くの負荷が発生する。
    # ひたすら上書きしてるようだ。
    # シングルコアだと結構体感できる差になるのではなかろうか。

    • Re:うへぇ by Anonymous Coward (スコア:1) 2008年08月22日 16時46分

  • TinyURL (スコア:2, 参考になる)

    do21 (28236) : 2008年08月22日 10時52分 (#1407701) ホームページ
    TinyURL [tinyurl.com] で短くした URL は ActionScript の System.setClipboard() を使ってクリップボードへ自動的に入れられますよ

    例) www.google.co.jp を短くする [tinyurl.com]

    使い方によっては便利ですが……。

    • Re:TinyURL (スコア:3, 興味深い)

      icecream (33977) : 2008年08月22日 11時45分 (#1407730) ホームページ
      ふと思ったのですが、このサービスが一番のターゲットになるような。
      TinyURLで自動でクリップボードに入ってくるのに慣れれば慣れるほどURLの文字列を確認しなくなるかと。
      その状態になればhttp://tinyurl.com/1awlがhttp://tinyurl.com/2hjy7にすり替わっても気がつかないと思う。

      勿論利便性はわかるのですけどねぇ。

  • その発想はなかった (スコア:1, 興味深い)

    Anonymous Coward : 2008年08月22日 10時34分 (#1407687)
    盗み見るんじゃなくて、押し付けるのかよ...

  • AS (スコア:1)

    a2lg (36523) : 2008年08月22日 10時43分 (#1407693)
    ActionScript の検査はしていなかったのだろうか…。

    • Re:AS (スコア:4, 興味深い)

      sumiiiii (6360) : 2008年08月22日 11時17分 (#1407715) ホームページ
      してないんじゃないですかねぇ…
      @ITの場合 [atmarkit.co.jp].flaの提出も条件となってますが、

      アクションスクリプトを使用する場合は、何を使用しているかの説明をしてください。再度プログラムの変更を依頼することがあります。
      禁止事項
      Flash内で外部参照のデータを呼び込むプログラムは禁止(例:「LoadMovie」「LoadVariable」)
      とあり、一応禁止事項はありますが素人が見てるんでしょうし、
      YouTubeの場合 [youtube.com].swfだけ入稿しろと見えますし。

      そもそも、.flaを提出されても、FlashMXとかの使いづらいスクリプトエディタじゃどこにどんなASが仕込んであるか追えないと思う。
    • Re:AS by Anonymous Coward (スコア:1) 2008年08月22日 10時50分
  • まさにその通りの動作ですね。

    そのサイトを開いている限り常にクリップボードにコピーされる。
    他でコピーをやっても、上書きされます。
    # クリップボードツール表示させたままやったらそうなったので。

    ついでに、クリップNote-Proを使用しているのですが、マウスクリックで
    選択して貼り付けてもそれしか貼り付けできません。
    # クリップNoteの仕様がクリップボード経由なんだから当然といえば当然かw
  • 1個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。