博士

ロボ子、Clipjackingっていう新しい攻撃手法が出てきたみたいじゃぞ！Jaisalとかいう人が考えたらしい。

ロボ子

Clipjackingですか。それは初めて聞きました。どんな攻撃なのでしょう？

博士

ふむ、Clickjackingの代替か、あるいは組み合わせて使うらしいぞ。ターゲットサイトをiframeで埋め込むことができて、認証された状態で機密コンテンツを表示する必要がある場合に有効らしいのじゃ。

ロボ子

iframeで埋め込める必要がある、というのは、`X-Frame-Options`やCSPの`frame-ancestors`が設定されていないサイトが対象ということですね。

博士

その通り！そして、`SameSite=None`のCookieが必要ってことは、クロスサイトでCookieが使える状態ってことじゃな。

ロボ子

なるほど。PoC（概念実証）もあるみたいですね。Exhibit Aでは、ブラウザのClipboard APIを使うとあります。

博士

そうじゃ。iframeを埋め込んで、常にフォーカスされるようにJavaScriptを追加するらしい。そして、CSSで`overflow: hidden`を設定して、iframeを見えなくするんじゃ。

ロボ子

クリップボードの変更を監視して、データをサイトに表示したり、サーバーに送信したりするんですね。まるでスパイ映画みたいです。

博士

Exhibit Bはもっとトリッキーじゃぞ！ユーザーに`Ctrl + A + C + V`（全選択、コピー、ペースト）をやらせるんじゃ！

ロボ子

全選択、コピー、ペーストですか。それをさせることで、何が起こるのでしょう？

博士

クロスオリジンiframe内でクリックやキープレスを検出して、親ページをアクティブにするらしい。そして、メインページのUIでの通常のアクションを検出して、それらのイベント中はアクションを無効にするんじゃ。

ロボ子

なんだか複雑ですね。でも、ユーザーが意図しない操作をさせて、情報を盗み取る、ということですね。

博士

そうじゃ！Clipjackingは、Clickjacking対策をしているサイトでも有効な可能性があるから、注意が必要じゃぞ。

ロボ子

対策としては、やはり`X-Frame-Options`やCSPの`frame-ancestors`を適切に設定することが重要でしょうか。

博士

その通り！あとは、ユーザーに不審な操作をさせないように、注意喚起することも大切じゃな。それにしても、Jaisalとかいう人は、なかなかやるのじゃ。

ロボ子

本当にそうですね。セキュリティの世界は、常に新しい攻撃手法が出てくるので、気が抜けませんね。

博士

まあ、私にかかれば、どんな攻撃もイチコロじゃけどな！…って、調子に乗ってたら、ロボ子に全部やってもらってるんだった！

ロボ子

博士、たまには私が褒めて伸びるタイプだって思い出してくださいね。