クリックジャッキングとは？仕組みから対策方法まで一挙解説！

クリックジャッキングとは

クリックジャッキングとは、何なのでしょうか。

Webサイトのリンクやボタンを偽装・隠ぺいする手法のこと

クリックジャッキングとは、Webブラウザを悪用して、Webサイトの運営者やユーザーに危害を加える攻撃の手法です。具体的には、偽装・隠ぺいしたリンクやボタンを踏ませ、ウイルスに感染させます。被害を受けると、個人情報が漏えいしたり、データが破壊されたりするため注意が必要です。

Webブラウザは世界中のユーザーが利用するものなので、クリックジャッキングによる被害も年々拡大しています。

通常のページと透明なページを使って行われる

一般的なクリックジャッキングでは、通常のページに、iframeで作った悪意のある透明ページをかぶせます。これによりユーザーから見れば通常のサイト、実際の操作上では悪意のあるページが優先されるWebサイトができあがるわけです。つまりユーザーは正規のリンクを踏んだつもりでも、実際は悪意のあるページに誘導されます。

クリックジャッキングで起こりうる被害

クリックジャッキングで起こりうる被害は、多岐に渡ります。代表的な被害例は、以下のとおりです。

• ■SNSを乗っ取られ、意図しない内容を投稿される
• ■不正プログラムを無限に動作させ、パソコンのCPUやメモリを大量に消耗させる
• ■デバイスを乗っ取られ、サービスを勝手に解約させられる
• ■CDドライブを無限に開閉させられ、ハードウェアが使えなくなる

上記で挙げた被害例は一部分なので、ほかの被害に遭う可能性もあります。こういった被害を回避するには、事前の対策が重要です。

クリックジャッキングから自社サイトを守る方法

クリックジャッキングから自社サイトを守るには、「X-FRAME-OPTIONS」を導入する方法が知られています。

X-FRAME-OPTIONSは、外部サイトの表示制限を行うパラメータです。自社サイトにコードを１行追加するだけで、クリックジャッキングにより偽装されたページを遮断できます。「DENY」「SAMEORIGIN」「ALLOW-FROM origin」という３つの設定値があるので、状況に応じて使い分けましょう。

DENY

iframeなどで偽装されたページをすべて拒否する

SAMEORIGIN

アドレスバーと同一ドメインのページのみを表示させる

ALLOW-FROM origin

事前に表示を許可するページを設定する（非対応のWebブラウザあり）

特に、ログインが必要だったり、ユーザーが自由にコンテンツを投稿できたりするサイトは、クリックジャッキングの対象になりやすいといわれています。

クリックジャッキングへの対策を行い、安全性を高めよう！

クリックジャッキングは、Webサイトのリンクやボタンを偽装・隠ぺいして、ユーザーを悪意のあるページに誘導します。被害に遭うと自社とユーザーに被害が及ぶため、注意しましょう。非常に巧妙な攻撃なので、「X-FRAME-OPTIONS」を導入し、しっかり対策することが大切です。

クリックジャッキングへの対策を行い、安全性を高めましょう。