クリックジャッキングは、Webサイトに罠を仕掛け、訪問したユーザーに意図しない操作をするよう誘導するというサイバー攻撃の一種です。被害を受けるのはユーザーだけではありません。Webサイトを運営する企業もクリックジャッキングに利用されるケースがあり、自社サービスの会員などに迷惑が及んでしまうことも。

クリックジャッキングとはどのような攻撃なのか、その仕組みや被害、対策について解説します。

クリックジャッキングとは

クリックジャッキングとは、Webページ上にユーザーが一見したたけではわからないように隠蔽または偽装してリンクやボタンを配置し、クリックを誘導して意図しない操作をさせる手法を指します。ジャッキングは乗っ取りを意味する言葉です。

クリックジャッキングの仕組み

クリックジャッキングの多くは、攻撃者によって作られた悪意あるWebサイトに仕掛けられています。

攻撃者は通常のサイトと変わらないように見えるWebサイトを作成します。しかし、そのWebページに「iframe」というHTMLタグを使って別のWebサービスのページを埋め込み、さらに埋め込んだページをCSSなどの設定で透明化しているとします。

サイトを訪問したユーザーがそのことに気づかず、たとえば「画像を拡大」などと書かれたボタンやリンクをクリックしてしまいます。そのボタンやリンクは罠であり、それをクリックさせるのが攻撃者の最初の目的です。ユーザーは実際には別のWebサービスのボタンを押していて、意図しない操作を行ってしまうことになります。

クリックジャッキングによる被害

クリックジャッキングに引っ掛かるとどのような被害を受けるのでしょうか。過去にあったものや考えられる具体例を挙げてみます。

Webサービスを退会させられる

入会して利用しているWebサービスの退会手続きを完了させられるケースです。

SNSなどの設定を変えられる

誰かをフォローさせられる、誰かの投稿を拡散させられる、非公開にしていたプロフィールを公開に変更させられる、意図しない投稿をさせられるなどのケースです。

見ようとしていなかった広告ページのURLをクリックさせられる

何らかの商品の広告ページに遷移させられるなどのケースです。

Webサービスなどのアカウントを乗っ取られる

自動ログインなどを設定している場合に、Webサービスやクラウドサービスの認証を突破されるケースです。

IDやパスワードを窃取される

フィッシングサイトに誘導するなどの方法でIDやパスワードを入力させられて、それらを盗み取られるケースです。

クリックジャッキングの被害に遭わないための対策

クリックジャッキングは、ユーザー側でできる対策は少ないといわれています。

それでもユーザーがクリックジャッキングの被害にできるだけ遭わないようにするためには、まずブラウザやOSの脆弱性を放置せず、常に最新の状態にすることが挙げられます。PCだけではなく、スマートフォンでもクリックジャッキングによる被害は起きているので、そちらのアップデートもしっかりと行っておく必要があります。

特に企業が取り組みたいクリックジャッキング対策

Webサイトを運営・運用する企業側は、クリックジャッキングを想定した対策を講じておく必要があります。

まず、サイトのHTTPレスポンスヘッダに「X-Frame-Options」を書きくわえると、悪意のあるサイトからのiframeによるページ読み込みを制限することができます。このオプションで指定できる値には次の2種類があります。

・DENY・全ドメインでフレーム内のページ表示を拒否する

・SAMEORIGIN:同一ドメイン内のみページの表示を許可する

※ALLOW-FROM uriという指定方法が紹介されることもありますが、これは廃止され新しいブラウザでは動作しないので注意が必要です。

あるいは、自サイトを利用しているユーザー(会員)がアカウントの設定を変更する際は、必ずパスワードを再入力させるなどの仕様に変更する方法も考えられます。

また、現在ではたとえばSNSなどのiframeで外部サイトに埋め込み可能なページは、フォローや投稿拡散、設定変更などの操作はワンクリックするだけでは処理が完了されないような仕様になっています。クリックするといったん別のタブが開き、その画面をユーザーが確認してさらにクリックすることで初めて処理を受け付けるといった形のものが主流です。

同じページ内での1~2回程度のクリックのみで何らかの操作ができてしまう仕様だと、クリックジャッキングの手法を使ってその簡単な操作性を悪用されてしまう可能性があります。クリックジャッキングを想定した何らかの工夫を施すようにしましょう。

クリックジャッキングによる攻撃を受けると、ユーザーは気づかないうちに意図しない操作をさせられてしまうことになります。しかし、Webサイトを運営する側がクリックジャッキングについて理解し対策を講じていれば、攻撃を防ぐことはそれほど難しくないといえます。自社で運営するサイトに問題はないか、今一度確認することをおすすめします。