ICTサプライヤーのためのビジネスチャンス発見マガジン

クリックジャッキング

クリックジャッキング(Clickjacking)は、ウェブサイト上でユーザーを意図しない操作に誘導するサイバー攻撃のこと。「クリック」を「ジャック(乗っ取る)」するという意味がある。ユーザーインターフェース(UI)を偽装することから、「UIレッドレッシング(UI Redressing)」とも呼ばれる。

クリックジャッキングは、攻撃者が用意した偽サイトに正規のWebページの情報をiframeで埋め込む。その上に透明なボタンや入力フォームを配置する。iframeは正規の機能で、ウェブページ内にSNSや外部ECサイトの情報を埋め込む目的で使用される。これを攻撃者は悪用する。見た目は正規のウェブサイトだが、実は「見えない罠」が仕掛けられているのだ。ユーザーはボタンをクリックするなど意図しない操作を実行させられ、その結果、商品購入や送金、マルウェアのインストールなど、様々な被害を受けることになる。多くのユーザーが被害に遭うまで攻撃の存在に気がつかない。

クリックジャッキングの攻撃を防ぐための対策は、運営者側とユーザー側の両方にある。

<運営者側の対策>

  • 外部サイトからのiframe埋め込みを制御する「X-Frame-Options」をHTTPレスポンスヘッダーに設定する。
  • 「Content Security Policy(CSP)」を適用し、信頼できるサイトのみiframeを許可する。
  • Webサイトの改ざんを検知・防止するセキュリティサービスを導入する。

<ユーザー側の対策>

  • サードパーティCookieをブロックする。
  • JavaScriptを無効化する。
  • ブラウザを常に最新バージョンへアップデートする。

これらの対策だけでは防御できない場合もある。また、最近ではユーザーのダブルクリック操作のタイミングを悪用する「ダブルクリックジャッキング」が登場した。従来の対策を回避する新たな攻撃手法だ。複数の防御手段を組み合わせる「多層防御」を検討する必要がある。ユーザーはブラウザと機能拡張を最新に保ち、不審なボタンやポップアップを不用意にクリックしないことが一番の対策となる。
(青木逸美)

関連ワード

インフォスティーラー ウィザード形式 クレデンシャル セキュア マルウェア 多層防御 Cookie
クイックビュー

この記事を読む

記事情報を取得できませんでした

資料ダウンロード

資料をダウンロードするには
ログインが必要です。

ログイン