クリックジャッキング

クリックジャッキング(Clickjacking)とは



クリックジャッキングは、ウェブページの利用者を騙し、意図しない動作をさせる悪質な攻撃手法です。別名として、UI redress attackやUI redressingとも呼ばれます。この攻撃は、ユーザーインターフェース(UI)を操作し、見た目とは異なる動作をさせることから、このように呼ばれます。

概要



攻撃者は、透明化した別のウェブページを、ユーザーが閲覧しているページの上に重ねて表示します。ユーザーは、自分がクリックしているボタンやリンクが、実際には別の場所にある要素であることに気づきません。例えば、ユーザーが「いいね!」ボタンをクリックしたつもりでも、実際には別のページにある「フォロー」ボタンをクリックさせられている、といった状況が発生します。

クリックジャッキングは、ソーシャルメディアの公式サイトなどを悪用し、ユーザーに意図しない投稿や操作をさせることもあります。この場合、ユーザー自身がボタンを押して操作しているため、攻撃の痕跡を追跡することが非常に困難になります。

この攻撃は、コンピューターの権限を悪用する「Confused deputy problem」の一種と捉えられています。

実例



クリックジャッキングは、様々な形で悪用されます。

Webカメラやマイクの作動: Flashなどのプラグインを利用し、ユーザーに気づかれずにWebカメラやマイクを作動させ、プライバシーを侵害する。
 ソーシャルメディアの設定変更: プロフィールの公開設定を意図せず変更させ、個人情報を公開状態にする。
ソーシャルメディアでの操作: Twitterで意図しないユーザーをフォローさせたり、Facebookで意図しないリンクをシェアさせたりする。

過去には、ソーシャルブックマークサービスで、一見無関係なボタンを押すことで、ユーザーが意図せずブックマークしてしまうという事例も発生しています。

対策



クリックジャッキングへの対策は、ユーザー側とウェブサイト提供者側の両方が行う必要があります。

ユーザー側の対策


 ブラウザのアドオン: Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が有効です。
プラグインの無効化: Flashなどのプラグインを無効化することで、攻撃をある程度防ぐことができます。しかし、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことは難しいです。

ウェブサイト提供者側の対策


 X-FRAME-OPTIONSヘッダー: ウェブサイトの管理者は、HTTPレスポンスヘッダーにX-FRAME-OPTIONSを含めることで、そのウェブページが他のサイトのiframe内に表示されることを防ぐことができます。主要なウェブブラウザは、この設定をサポートしています。

その他の対策方法



Content Security Policy(CSP): `frame-ancestors`ディレクティブを利用して、コンテンツを埋め込むことを許可するドメインを制限できます。
 SameSite Cookie: Cookieの設定で`SameSite`属性を`Lax`または`Strict`に設定することで、クロスサイトリクエスト時のCookieの送信を制御し、攻撃の影響を軽減できます。

まとめ



クリックジャッキングは、ユーザーが気づきにくい形で攻撃を仕掛けるため、非常に危険な手法です。ウェブサイトを利用する際は、常に警戒し、可能な限り対策を講じることが重要です。

ウェブサイトの管理者も、X-FRAME-OPTIONSなどの対策を講じることで、ユーザーを保護する必要があります。セキュリティに関する情報を常に収集し、最新の対策を講じるように心がけましょう。

参考情報



安全なウェブサイトの作り方 - 1.9 クリックジャッキング:IPA 独立行政法人 情報処理推進機構
 IPA テクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの「クリックジャッキング」に関するレポート (PDF) - 情報処理推進機構
クリックジャッキング対策済みサイトは一部のみ、IPAが解説レポートを公開- インプレス
 X-FRAME-OPTIONS によるクリックジャッキング対策 - JPCERT/CC
「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か - ITmedia
 クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 - ZDNet
正体が見えた「クリックジャッキング」 - 日経ITpro
 UI Redressing: Attacks and Countermeasures Revisited
* ClickJacking Links collected by Steve Gibson of GRC.com

もう一度検索

【記事の利用について】

タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。

【リンクついて】

リンクフリーです。