セキュリティ
クリックジャッキングとは? 攻撃の仕組みと対策
Webサイトを訪問した人が被害を受けるサイバー攻撃はいくつかあり、クリックジャッキングもその一つです。クリックジャッキングはサイトを閲覧したりSNSを使用したりしている際に被害を受ける可能性がある攻撃手法です。その仕組みや起こり得る被害、そして対策について解説していきます。
クリックジャッキングとは?
クリックジャッキングとは、Webサイト上に隠蔽・偽装したリンクやボタンを設置し、サイト訪問者を視覚的に騙してクリックさせるなど意図しない操作をするよう誘導させる手法です。
その目的は、仕掛けた者=攻撃者が何らかの利益を得ることや、サイト訪問者に対して嫌がらせを含めた何らかの不利益をもたらすことにあります。その意味で、クリックジャッキングはサイバー攻撃の一種であるといえます。
クリックジャッキングはWebブラウザを使ってサイトを閲覧し、何らかの操作をしたときに意図しない動作をするように仕掛けられています。また、最近ではTwitterやFacebookなどのSNSを使用しているときに、メッセージなどに含まれているリンクを踏むと被害に遭うといった事例も多く報告されています。パソコンだけではなく、スマートフォンを使っていてもクリックジャッキングに出くわす可能性があります。
クリックジャッキング攻撃の仕組み
クリックジャッキングはWebサイトの中のWebページのどこかに仕掛けられています。その仕組みを説明します。
インターネットを使って、あるWebページを開いたとしましょう。そのWebページは一見、何の変哲もない無害なページのように見えます。しかし実はそのページの上に、HTMLタグである「iframe(インラインフレーム)」を使って透明なページがかぶせられています。iframeは指定したURL(リンク先ページの内容)を、現在表示しているページの一部分であるかのように表示できるタグです。
例えば、ページ上の「続きを見る」というボタンを押すと、訪問者はまったくその気がないのに悪意あるサイトへ移動させられる、あるいは埋め込まれたコードを実行させられてしまいます。訪問者は目に見えているボタンをクリックしていると思っていますが、実際にはその上にかぶせられた別の透明なボタンをクリックしているという状況が起きてしまうのです。
クリックジャッキングを使った攻撃は近年ますます巧妙化しています。無害に見えるWebページの上に悪意ある透明なページが重ねられているケース以外にも、訪問者がよく使っている正規のページが重ねられているケースもあります。例えば、無害に見えるページのボタン上に、Twitterの「フォロー」というボタンが重ねられているとします。すると訪問者は、自分では意図していないうちに知らない誰かを勝手にフォローしてしまうことになります。あるいは、自分のプロフィールを書き換えられたり、プライバシーポリシー設定を変更させられたりといったことも起こり得ます。
このように、クリックジャッキングによって訪問者に意図しない操作をさせる手口が増えています。
クリックジャッキングで起こり得る被害
クリックジャッキングを仕掛けることによって、攻撃者はサイト訪問者に、本人が意図しない操作をさせることができます。そのことによって、訪問者は以下のような被害を受ける危険性があります。
- 意図しない商品を購入させられる
- 送金させられる、ネットショップのギフト券を送付させられる
- SNSで特定のアカウントをフォローさせられる、投稿させられる
- Adobe Flashを使ってWebカメラやマイクを作動させられる
- パソコンやSNSのアカウントが第三者への攻撃の踏み台にされる
- Webサイト運営者は管理画面などを盗み見される
- ウイルスを感染させられる
- パソコンを乗っ取られる
クリックジャッキングによって悪意あるサイトにアクセスさせられ、さらにウイルスに感染させられると、情報の流出、データ破壊などさまざまな被害を受ける危険性が増大します。
クリックジャッキングに効果的な対策
クリックジャッキングを防ぐ方法を確認しましょう。サイト訪問者向けの対策としては、Java ScriptやAdobe Flashを無効にするという方法が挙げられます。ほとんどのブラウザで、「設定」からこれらを無効化できます。ただし、クリックジャッキングはCSSのみで仕掛けることも可能なため、Java ScriptやAdobe Flashを利用しないだけでは完全に防ぐことはできません。
サイト運営者が自身のWebサイトで対策する方法もあります。サイトのHTTPレスポンスヘッダに「X-FRAME-OPTIONS」を追加することで、外部サイトからのフレームによるページの読み込みを制限できるというものです。この方法はコードを1行追加するだけで実現でき、実効性も高いため、多くの大手サイトで採用されています。すべてのサイトに必要な対策ではありませんが、ユーザーによる投稿機能やログイン機能などを有しているサイトの場合は、このようなセキュリティ対策をしておくことが望ましいといえるでしょう。
巧妙に仕掛けられたクリックジャッキングはサイト訪問者に大きな被害をもたらすことがあります。サイトを運営・管理している個人や企業は所有しているサイトへのクリックジャッキング対策をしっかりと行い、訪問者に被害が出ることを防ぐ必要があるといえるでしょう。
※「Twitter」は、Twitter,Inc.の商標または登録商標です。
※「Facebook」は、Facebook,Inc.の登録商標です。
※「Adobe Flash」は、Adobe Systems Incorporated (アドビ システムズ社) の米国ならびに他の国における商標または登録商標です。
※「JavaScript」は、Oracle Corporation 及びその子会社、関連会社の商標または登録商標です。