クリックジャッキングとは
「クリック個所を乗っ取る」意味です。悪意者は、信頼のあるWebページのボタン等(バナー、リンク先なども)の部分に、悪意のあるボタン等を透明にして上乗せします。利用者がそのページを閲覧し、正規に見えるボタン等をクリックすると、悪意の処理が実行されてしまいます。
- iframe(インラインフレーム)とは、Webページの中に別のページの内容を表示できる機能で、HTMLに標準装備されています。悪意者は、正規のWebページのソースを改ざんして、対象とするボタンを含む箇所をiframe指定をして、悪意のページがその部分に上書きできるようにします。
- 悪意者は、悪意のボタン(悪意サイトへのリンクや、悪意のある操作の実行など)を含む悪意のページを作成しておきます。悪意のボタンが正規のボタンに重なるようにします。そして、このページを透明化して、閲覧者には正規のボタンが見えるようにします。
- 閲覧者が改ざんされた正規のページで、正規のボタンだと思っているボタンをクリックすると、意図しない悪意のボタンが実行されてしまいます。
クリックジャッキング対策
利用者が感染したパソコンから正規のサイトを閲覧したとき、利用者が意図していない操作が行われるのは、CSRF(Cross Site Request Forgeries)と似ています。そのため、CSPFと同様な対策が有効になります。
最新のOS、ブラウザ、ウイルス対策ソフトでは、このような細工を検知する機能が進んでいます。これらを常に最新にしておくことが必要です。
正規サイトからのクッキーが改ざんされて、それがiframeに悪意のページを取り込ませることもあります。
Webページにiframeを禁止する指定ができます。Webサイト運営側は、クリックジャッキングを防ぐには、そのページのHTTPレスポンスヘッダの「X-FRAME-OPTIONS」に「iframeを禁止する」や「同一ドメイン以外のiframeへの取り込みを禁止する」などの指定をすることができます。