クリックジャッキングとは？攻撃のメカニズムと具体的な対策を解説

クリックジャッキングとは

ここでは、クリックジャッキングの基本的な概要について解説します。

Webサイトのリンクやボタンを偽装・隠ぺいする手法のこと

クリックジャッキングとはその名前の通り、「クリック」を「ジャック（乗っ取る）」する手法で、Webブラウザを悪用してWebサイトの運営者やユーザーに危害を加えるサイバー攻撃のひとつです。具体的には、偽装・隠ぺいしたリンクやボタンを踏ませ、ウイルスに感染させる目的で行われます。クリックジャッキングの被害を受けると、個人情報の漏えいやデータの破壊といった被害が想定されるため、事前の対策が必要です。

Webブラウザは世界中のユーザーが利用するものということもあり、クリックジャッキングによる被害も年々拡大しています。

攻撃の仕組み（メカニズム）

クリックジャッキングがどのように実現されるのか、攻撃の背後にあるメカニズムを理解することで、より具体的な対策や認識が深まります。ここではその仕組みの例を紹介します。

通常のページと透明なページを使って行われる

クリックジャッキングは、通常のページにiframeなどで作成した悪意のある透明ページをかぶせるのが通例です。その結果ユーザーの視点では通常のサイトとして表示されます。しかし実際は、悪意のあるページが優先されるWebサイトとしてできあがっているのです。つまりユーザーは正規のリンクを踏んだつもりでも、実際は悪意のあるページに誘導されます。

ユーザーの意識を逸らす

透明なレイヤーだけでなく、攻撃者はユーザーの注意を引くための別のコンテンツや動画、ゲームなどを利用することもあります。これによりユーザーはそのコンテンツに夢中になり、背後で行われるクリックジャッキングに気づきにくくなります。

クリックするエリアの誘導

攻撃者はユーザーが意図しないエリアをクリックするよう仕向けることもあります。例えば、大きな「閉じる」ボタンが表示されるが、そのボタンの背後に実際の攻撃対象となるボタンやリンクが隠されている場合、ユーザーは意図せずそのリンクをクリックすることになります。

このように、クリックジャッキングの攻撃手法は巧妙に進化しており、日常のWebブラウジング中にも無自覚に被害に遭うリスクがあります。そのため、常に最新のセキュリティ情報を確認し、適切な対策を講じることが重要です。

被害に遭いやすいWebサイトの特徴

クリックジャッキングの被害は、重要な設定や作業などをマウスのみで操作できるWebサイトが特に高まると言われています。操作がシンプルでユーザビリティが高い反面、クリックジャッキングの被害に遭いやすいのです。

例えば、情報公開範囲の変更がマウスクリックのみで簡単にできるサイトでは、クリックジャッキングを用いて悪意のある者がその設定を変更し、プライベートな情報が公開されるリスクが考えられます。このように、便利な機能や設定が時としてユーザーを危険に晒す可能性があるため、サイトの設計や利用時には注意が必要です。

クリックジャッキングで起こりうる被害

クリックジャッキングが引き起こす被害は、多岐に渡ります。代表的な被害例は、以下のとおりです。

• ■SNSを乗っ取られ、意図しない内容を投稿される
• ■不正プログラムを無限に動作させ、パソコンのCPUやメモリを大量に消耗させる
• ■デバイスを乗っ取られ、サービスを勝手に解約させられる
• ■CDドライブを無限に開閉させられ、ハードウェアが使えなくなる
• ■意図しない商品の購入や送金をさせられる
• ■管理画面のセキュリティ性能が下がる
• ■ウイルス感染の危険がある
• ■マイク・カメラが勝手に起動される

被害例は一部分であり、ほかの被害に遭う可能性もあります。こういった被害を回避するために、事前のクリックジャッキング対策が重要です。

クリックジャッキングの対策方法

クリックジャッキングは多くのWebサイトが直面するセキュリティのリスクとなっています。以下にクリックジャッキングから守るための対策方法をまとめました。

１．「X-FRAME-OPTIONS」の導入

Webサイト運営側の対策として、クリックジャッキングから自社サイトを守るには、「X-FRAME-OPTIONS」を導入する方法が知られています。

X-FRAME-OPTIONSは、外部サイトの表示制限を行うパラメータです。自社サイトにコードを１行追加するだけで、クリックジャッキングにより偽装されたページを遮断できます。「DENY」「SAMEORIGIN」「ALLOW-FROM origin」という３つの設定値があるので、状況に応じて使い分けましょう。

DENY

iframeなどで偽装されたページをすべて拒否する

SAMEORIGIN

アドレスバーと同一ドメインのページのみを表示させる

ALLOW-FROM origin

事前に表示を許可するページの設定を実施する（非対応のWebブラウザあり）

特に、ログインが必要だったり、ユーザーが自由にコンテンツを投稿できたりするサイトは、クリックジャッキングの対象になりやすいといわれています。

２．OSとブラウザの更新

これはブラウザを閲覧するユーザー側の対策方法です。OSやブラウザの更新はセキュリティ上の脆弱性を修正することが多いため、常に最新の状態を保つことが対策のひとつとなります。

３．ウイルス対策ソフトの導入と更新

こちらもブラウザを閲覧するユーザー側の対策方法です。クリックジャッキングは、ウイルスやマルウェアと組み合わさることもあります。ウイルス対策ソフトを導入し、定期的に更新することで、多岐にわたる攻撃からサイトを守ることができます。

以下の記事では、ウイルス対策ソフト（サイバー攻撃対策ツール）を比較して紹介しています。ツールの選び方も解説しているため、導入を検討する際の参考にしてください。

クリックジャッキングへの対策を行い、安全性を高めよう！

クリックジャッキングは、Webサイトのリンクやボタンを偽装・隠ぺいして、ユーザーを悪意のあるページに誘導します。被害に遭うと自社とユーザーに被害が及ぶため、注意しましょう。非常に巧妙な手段で攻撃されるため、「X-FRAME-OPTIONS」を導入したうえで、しっかり対策することが大切です。

クリックジャッキングへの対策を行い、安全性を高めましょう。