クリックジャッキングは、代表的なサイバー攻撃のひとつです。サイバー攻撃を受けると、企業にとっての大きな損失につながってしまいます。非常に強力な手法であるため、Webサイト運営者はすぐに対策をとりましょう。
この記事では、クリックジャッキングの概要や想定被害について紹介します。具体的な対策法も紹介しているため、ぜひ参考にしてください。
この記事は2022年4月時点の情報に基づいて編集しています。
クリックジャッキングとは
ここでは、クリックジャッキングの基本的な概要について解説します。
Webサイトのリンクやボタンを偽装・隠ぺいする手法のこと
クリックジャッキングとは、Webブラウザを悪用して、Webサイトの運営者やユーザーに危害を加えるサイバー攻撃のひとつです。具体的には、偽装・隠ぺいしたリンクやボタンを踏ませ、ウイルスに感染させる目的で行われます。クリックジャッキングの被害を受けると、個人情報の漏えいやデータの破壊といった被害が想定されるため、事前の対策が必要です。
Webブラウザは世界中のユーザーが利用するものということもあり、クリックジャッキングによる被害も年々拡大しています。
通常のページと透明なページを使って行われる
クリックジャッキングは、通常のページにiframeなどで作成した悪意のある透明ページをかぶせるのが通例です。その結果ユーザーの視点では通常のサイトとして表示されます。しかし実際は、悪意のあるページが優先されるWebサイトとしてできあがっているのです。つまりユーザーは正規のリンクを踏んだつもりでも、実際は悪意のあるページに誘導されます。
クリックジャッキングの被害に遭いやすいWebサイトの特徴
重要な設定や作業などをマウスのみで操作するWebサイトが、クリックジャッキングに遭いやすいとされています。
Webサイトの設定やサービスなど、ログインしたうえで利用できる機能を、マウスのみで完結できるサイトは非常に便利です。情報公開範囲の変更処理などをマウスクリックのみで実施できるサイトもあるでしょう。これらは便利である反面、クリックジャッキングの被害に遭いやすいといわれています。
クリックジャッキングで起こりうる被害
クリックジャッキングで起こりうる被害は、多岐に渡ります。代表的な被害例は、以下のとおりです。
- ■SNSを乗っ取られ、意図しない内容を投稿される
- ■不正プログラムを無限に動作させ、パソコンのCPUやメモリを大量に消耗させる
- ■デバイスを乗っ取られ、サービスを勝手に解約させられる
- ■CDドライブを無限に開閉させられ、ハードウェアが使えなくなる
- ■意図しない商品の購入や送金をさせられる
- ■管理画面のセキュリティ性能が下がる
- ■ウイルス感染の危険がある
- ■マイク・カメラが勝手に起動される
上記で挙げた被害例は一部分であり、ほかの被害に遭う可能性もあります。こういった被害を回避するために、事前のクリックジャッキング対策が重要です。
クリックジャッキングから自社サイトを守る方法
クリックジャッキングから自社サイトを守るには、「X-FRAME-OPTIONS」を導入する方法が知られています。
X-FRAME-OPTIONSは、外部サイトの表示制限を行うパラメータです。自社サイトにコードを1行追加するだけで、クリックジャッキングにより偽装されたページを遮断できます。「DENY」「SAMEORIGIN」「ALLOW-FROM origin」という3つの設定値があるので、状況に応じて使い分けましょう。
- DENY
- iframeなどで偽装されたページをすべて拒否する
- SAMEORIGIN
- アドレスバーと同一ドメインのページのみを表示させる
- ALLOW-FROM origin
- 事前に表示を許可するページの設定を実施する(非対応のWebブラウザあり)
特に、ログインが必要だったり、ユーザーが自由にコンテンツを投稿できたりするサイトは、クリックジャッキングの対象になりやすいといわれています。
クリックジャッキングへの対策を行い、安全性を高めよう!
クリックジャッキングは、Webサイトのリンクやボタンを偽装・隠ぺいして、ユーザーを悪意のあるページに誘導します。被害に遭うと自社とユーザーに被害が及ぶため、注意しましょう。非常に巧妙な手段で攻撃されるため、「X-FRAME-OPTIONS」を導入したうえで、しっかり対策することが大切です。
クリックジャッキングへの対策を行い、安全性を高めましょう。