クリックジャッキングとは

クリックジャッキングとは、Webページに悪意ある仕掛けを行い、ページを閲覧するユーザーに特定の箇所をクリックさせ、意図しない操作を行わせる攻撃手法のこと。あるいは、こうした攻撃手法を可能にしてしまうWebサイトの脆弱性のこと。

攻撃者は、透過指定した外部ページを、利用者が閲覧しているページの上に重ねて読み込ませる。これにより、ユーザーは、自分が閲覧しているボタンなどのコンテンツをクリックしたつもりで、実際にはその上にある「透明な」別のボタンをクリックさせられてしまう。

たとえば、SNSなどのように、ユーザーがログイン情報を登録し、ログインしたユーザーのみが利用できる機能を提供するページを重ねることも可能だ。つまり、ユーザーは、他サイトを閲覧しているつもりで、知らずに自分のSNSのログインボタンを押して、意図しない機能を実行させられるような可能性がある。

これにより、ログインしたユーザーのみが利用可能なサービスが悪用され、「犯行予告」などの意図しないコンテンツ等を投稿させられることや、非公開にしていたはずの個人情報を公開に変更されてしまうなどの被害を被る可能性がある。マウスによるクリック操作のみで実行可能な処理に限定される点以外は、CSRFによる脅威と同様だ。

さらに、この攻撃が成立した場合、ユーザーは自分でボタンを押して正しい手続きを踏んでいることになるため、あとから攻撃の痕跡をたどることが非常に困難という問題もある。

クリックジャッキングはユーザー側でJavaScriptなどのプラグインを無効にしても完全に防ぐことができない。そのため、クリックジャッキングを防ぐためには、Web管理者側で、Webサイトを読み込む際のHTTPレスポンスヘッダに特定の値を設定することで、iframe内の表示を制御するなどの対策を行う必要がある。

セキュリティ用語辞典一覧ページへ

関連キーワード:

CSRF

SNS

クリックジャッキング

攻撃

攻撃手法

脆弱性

  • 2016年12月のIT総括
  • カテゴリートップへ
  • 12月は金融機関やオンラインゲーム、LINE、Appleをかたるフィッシングの報告件数が増加