クリックジャッキングとは|サイバーセキュリティ.com

クリックジャッキング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. クリックジャッキング
             

クリックジャッキング

クリックジャッキング(Clickjacking)とは、Webページ上に透明または目に見えないボタンやリンクを重ね、ユーザーが意図せずに別の操作を行うように誘導するサイバー攻撃手法の一つです。この攻撃により、ユーザーは本来のページに対して操作をしていると思い込んでいますが、実際には攻撃者が仕掛けた操作が実行されます。クリックジャッキングは、ソーシャルメディアの投稿やアカウント設定の変更、不正な購入手続きなど、さまざまな操作を被害者に行わせるために悪用されます。

クリックジャッキングの仕組み

クリックジャッキングは、攻撃者がWebページに意図的に透過した別のページを重ねて表示することで成立します。ユーザーがリンクやボタンをクリックすると、本来のページではなく、透明な攻撃用ページで設定された操作が実行されます。この攻撃は、主に以下のような方法で実現されます。

  1. IFRAMEの透明化
    攻撃者は、ターゲットのWebページをIFRAMEとして自分のサイトに埋め込み、透明化して表示します。ユーザーが見ていると思い込むページの上に透明なIFRAMEを重ねることで、知らずに攻撃者が意図する操作を行わせます。
  2. CSSやJavaScriptを用いたボタンの誘導
    CSSやJavaScriptを使って、画面上のリンクやボタンの位置を変更し、ユーザーが意図的にクリックしようとするエリアに攻撃者の指定するボタンやリンクが重なるように設定します。

クリックジャッキングの手口

クリックジャッキングには、主に以下のような手口が存在します。

1. ソーシャルメディアの乗っ取り

クリックジャッキングを利用して、ユーザーのFacebookやTwitterなどのソーシャルメディアの「いいね」や「シェア」ボタンを勝手にクリックさせることで、攻撃者が仕込んだリンクや投稿を拡散させます。これにより、被害者が知らない間に攻撃者の投稿が友人やフォロワーに共有されます。

2. 課金や購入手続きの実行

オンラインショッピングサイトやサブスクリプションサービスのボタンを重ねて配置することで、ユーザーが意図せずに有料サービスに登録させられたり、不正な購入手続きを完了させられたりすることがあります。これにより、ユーザーに経済的な被害が発生します。

3. プライバシー設定の変更

ユーザーのSNSやアカウントのプライバシー設定を変更するよう仕向けることで、情報の公開範囲を広げ、他の攻撃手段に利用するケースがあります。例えば、プライバシー設定を「公開」に変更させることで、アカウントが乗っ取りやすくなる可能性が高まります。

4. 権限の変更や許可の取得

Webアプリケーションの設定画面をクリックジャッキングで操作し、ユーザーのデバイスやブラウザに特定の権限を付与させることがあります。これにより、攻撃者はデバイスやアプリの操作に対して権限を得ることができ、データへのアクセスや不正操作が可能になります。

クリックジャッキングのリスクと影響

クリックジャッキングは、企業や個人にさまざまなリスクや影響を及ぼします。

1. 個人情報の漏洩

ユーザーがクリックジャッキング攻撃によりSNSの設定を変更してしまうと、個人情報が公開されやすくなり、他の不正アクセスや個人情報の悪用につながる可能性があります。

2. 経済的損害

不正な購入や有料サービスへの登録などがクリックジャッキングによって行われると、ユーザーが意図しない課金が発生するため、経済的な損失が発生します。

3. 信用の低下

企業が提供するWebサイトやサービスがクリックジャッキング攻撃を受けると、顧客やユーザーの信用が損なわれ、利用者離れやブランドイメージの悪化につながるリスクもあります。

4. デバイスやアカウントの乗っ取り

クリックジャッキングにより、攻撃者がユーザーのアカウントやデバイスにアクセスできるようになると、乗っ取り被害が発生しやすくなります。特に、攻撃者にSNSアカウントを乗っ取られると、スパムの拡散やフィッシング詐欺などのさらなる被害が拡大する恐れがあります。

クリックジャッキングの防止策

クリックジャッキングの被害を防ぐためには、Webサイトの運営者やユーザーが対策を講じることが重要です。

1. HTTPヘッダーの設定(X-Frame-Options)

Webサイト側でクリックジャッキングを防ぐためには、HTTPヘッダーの「X-Frame-Options」を設定する方法が有効です。このヘッダーに「DENY」や「SAMEORIGIN」を指定することで、他のドメインからのフレーム内への埋め込みを禁止し、攻撃者がIFRAMEを利用した透明ボタンを重ねることを防ぎます。

  • DENY: 他のサイトからのフレーム埋め込みを一切許可しません。
  • SAMEORIGIN: 同一のドメインからの埋め込みのみを許可します。

2. Content Security Policy(CSP)の設定

CSP(Content Security Policy)は、Webサイトの表示コンテンツを制御するためのセキュリティポリシーです。CSPを設定することで、指定したドメイン以外からのフレーム埋め込みやスクリプトの実行を制限できます。「frame-ancestors」ディレクティブを利用することで、他のドメインからの埋め込みをブロックし、クリックジャッキングを防止します。

3. JavaScriptによるフレーム埋め込みの検出

WebページにJavaScriptコードを埋め込み、フレーム内で表示されているかどうかをチェックする方法も効果的です。たとえば、JavaScriptで「window.top」と「window.self」を比較することで、異常が検出された場合にユーザーを警告したり、ページ表示を中止したりすることができます。

4. 二要素認証(2FA)の導入

クリックジャッキングの被害により、アカウントの権限が不正に変更されたり乗っ取られたりするのを防ぐため、二要素認証(2FA)を導入することも有効です。認証情報に加えて、ワンタイムパスコードや認証アプリを用いることで、攻撃者による不正操作を未然に防ぎます。

5. 信頼性の高いセキュリティソフトの使用

ユーザー側でも、信頼性の高いセキュリティソフトを使用し、フィッシングサイトやクリックジャッキングの危険性があるサイトにアクセスしないよう保護することが推奨されます。

まとめ

クリックジャッキングは、Webページ上で透明化されたリンクやボタンを利用して、ユーザーに意図しない操作をさせる攻撃手法であり、個人情報漏洩や経済的損失、アカウント乗っ取りなどのリスクをもたらします。防止策として、X-Frame-OptionsやContent Security Policyの設定、JavaScriptによる検出、二要素認証の導入が有効です。Webサイトの運営者とユーザーがそれぞれ適切な対策を講じることで、クリックジャッキングからの被害を防ぎ、より安全なインターネット環境を保つことが可能になります。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。