クリックジャッキングにFirefox＋NoScriptで対抗できるのか？

最新特集【一覧】

防水スピーカーをワイヤレス化、お風呂でのんびり音楽を楽しむ

自作バーコードで音楽CDを管理する

Perfumeが公開したダンスのモーションデータをChromeで扱う

JavaScriptを効果的にブロックする「NoScript」

　先週、「クリックジャッキング」と呼ばれる新たな脅威が発表された。詳細はまだ明らかになっていないが、Firefoxを含むほぼ全てのブラウザが対象になり、現時点で影響を最小限に抑える（完全に防止できるわけではない）手段はスクリプト機能とプラグインを無効化することだけだとされている。

　そこで「NoScript」の出番である。この拡張を用いることでJavaScriptおよび各種プラグインの実行を容易に制御できるようになる。実行の許可はホワイトリスト制となっており、作者であるGiorgio Maone氏によればデフォルト設定でクリックジャッキングを利用した攻撃シナリオの多くを防ぐことができるとのことだ。

　NoScriptをインストールすると、図1に示すように信頼されていないサイト、すなわちホワイトリストに載っていないサイトについてはJavaScriptだけでなくJava、Flash、Silverlight、その他のプラグインは全てブロックされる。さらに、一度「信頼できない」とされたサイトに関しては全てのオブジェクトがブロックされる。

図1 デフォルト設定は極力安全に設計されているとのこと

　[詳細設定]タブでは、信頼されていないサイト、信頼済みサイトに関する詳細な動作が設定できるほか、クロスサイトスクリプティング（XSS）の防止やHTTPSの動作などを指定できる。

図2 クロスサイトスクリプティングの脅威もブロックできる

　まだ信頼されていないサイトを訪れ、JavaScriptやその他のオブジェクトがブロックされた場合には、図3のようにページ下部にその旨が表示される。ここで[Option]をクリックすることで、図4のようなポップアップメニューからそのサイトにおけるNoScriptの動作を指定することが可能。ここで[許可]を選択すればそのサイトがホワイトリストに追加される。[一時的に許可]の場合は一時的にブロックは解除されるが、ホワイトリストには追加されない。[Untrusted]メニューは、そのサイトを「信頼できないサイト」としてマークする。

図3 信頼されていないサイトはデフォルトでJavaScriptがブロックされる

図4 サイト毎のNoScriptの動作設定はワンクリックで可能

　NoScriptは安全なインターネット利用のために必須の拡張と言えるだろう。