クリックジャッキングとは

クリックジャッキングとは、Webページに悪意ある仕掛けを行い、ページを閲覧するユーザーに特定の箇所をクリックさせ、意図しない操作を行わせる攻撃手法。あるいは、こうした攻撃手法を可能にしてしまうWebサイトの脆弱性のこと。

攻撃者は、リンクやボタンなどのページ要素を視覚的に偽装し、一見、正常に見えるこれらのコンテンツをクリックさせる。これにより、ユーザーは、自分が閲覧しているボタンなどのコンテンツをクリックしたつもりで、実際には、偽装された別のボタンをクリックさせられてしまう。たとえば、SNSなどのように、ログイン情報を登録したユーザーのみが利用できるページを仕掛けることも可能だ。

つまり、ユーザーは、他サイトを閲覧しているつもりで、知らずに自分のSNSのログインボタンを押して、意図しない機能を実行させられる可能性がある。これにより、ログインしたユーザーのみが利用可能なサービスが悪用され、「犯行予告」などの意図しないコンテンツ等を投稿させられることや、非公開にしていたはずの個人情報を公開に変更されてしまうなどの被害を被る可能性がある。

マウスによるクリック操作のみで実行可能な処理に限定される点以外は、CSRFによる脅威と同様だ。さらに、この攻撃が成立した場合、ユーザーは自分でボタンを押して正しい手続きを踏んでいることになるため、あとから攻撃の痕跡をたどることが非常に困難という問題もある。

クリックジャッキングはユーザー側でJavaScriptなどのプラグインを無効にしても完全に防ぐことができない。そのため、クリックジャッキングを防ぐためには、Web管理者側で、Webサイトを読み込む際のHTTPレスポンスヘッダに特定の値を設定することで、iframe内の表示を制御するなどの対策を行う必要がある。

セキュリティ用語辞典一覧ページへ

関連キーワード:

CSRF

SNS

クリックジャッキング

攻撃

攻撃手法

脆弱性