クリックジャッキング<情報倫理・セキュリティ<Web教材<木暮

Web教材一覧情報倫理・セキュリティ

クリックジャッキング


クリックジャッキングとは

「クリック個所を乗っ取る」意味です。悪意者は、信頼のあるWebページのボタン等(バナー、リンク先なども)の部分に、悪意のあるボタン等を透明にして上乗せします。利用者がそのページを閲覧し、正規に見えるボタン等をクリックすると、悪意の処理が実行されてしまいます。


クリックジャッキング対策

利用者が感染したパソコンから正規のサイトを閲覧したとき、利用者が意図していない操作が行われるのは、CSRF(Cross Site Request Forgeries)と似ています。そのため、CSPFと同様な対策が有効になります。

最新のOS、ブラウザ、ウイルス対策ソフトでは、このような細工を検知する機能が進んでいます。これらを常に最新にしておくことが必要です。
 正規サイトからのクッキーが改ざんされて、それがiframeに悪意のページを取り込ませることもあります。

Webページにiframeを禁止する指定ができます。Webサイト運営側は、クリックジャッキングを防ぐには、そのページのHTTPレスポンスヘッダの「X-FRAME-OPTIONS」に「iframeを禁止する」や「同一ドメイン以外のiframeへの取り込みを禁止する」などの指定をすることができます。


本シリーズの目次へ