「クリックジャッキング攻撃」とは？わかりやすく解説【事例・対策】

「クリックジャッキング攻撃」とは、ざっくりいうと利用者をダマすために仕組まれたWebサイトの罠のことです。

たとえば「透明化Webページ」というものがあります。
一見ふつうに見えるWebサイトの上に、透明化した別のWebサイトを重ねることによって
利用者が想像もしないような動作を起こさせます。

「続きを読む」と書かれているボタンの上に、透明化された「商品購入」ボタンが設置されていたらどうでしょう。
利用者は知らずのうちに商品を購入してしまうことになりますね。
商品購入以外にも、Twitterでシェアさせるとか、アカウントを登録させるとか、広告を表示させるとか、やりようによって手法なんて無限に存在します。

他にもFlashプレイヤーの設定を変更させることで、勝手にカメラ・マイクを起動させるといった手法もあるようです。
また、最近だとWebページだけでなくスマホアプリにも被害がでている事例もあるんだとか。

クリックジャッキング攻撃は、僕たちが想像している以上に広く蔓延しているようですね。

クリックジャッキング攻撃の対策

利用者側ができる対策

クリックジャッキング攻撃につかわれる「z-index（表示の重なりを変更する）」や「opacity（透明化する）」といったソースコードを無効にすることで、対応が可能です。

無効にするためのプラグインが配布されているようなので、それを利用するのがよいでしょう。
Firefoxの場合「NoScript」というプラグインが有名なようです。気になる方は試してみてください。

サーバー管理者側ができる対策

クリックジャッキング攻撃で他サイトを呼び出す際、「iframe」という技術が使用されます。

上記の例で挙げた「Twitterでシェアさせる」という攻撃を、Twitter側が防止しようとした場合
他のサイトからiframeで呼び出されるのを制限するソースコードが存在します。「X-FRAME-OPTIONS」というものです。

Twitter側が「X-FRAME-OPTIONS」をソースコードに記述しておくことで、クリックジャッキング攻撃者にサイトを利用されることがなくなるので
被害を防ぐことができるでしょう。
ただし攻撃を目的としない善良なWebサイトのiframeも制限してしまうことになるため、一部の善良利用者にとっては面倒をかけることになりますが。