「クリックジャッキング」とは、ユーザーを視覚的にだまして、正常に見えるページとは別のページをクリックさせる攻撃のこと。ユーザーのクリックを乗っ取る(「hijack」の「jack」と同義)ことから、こう呼ばれている。

 まだ国内の多くのサイトで対策が進んでいないクリックジャッキング攻撃について、その実態と防ぎ方を4回に分けて解説する。サイトを運営する担当者が気を付けて対策を打つものだが、ユーザーも被害が及ぶものだけに、その仕組みをしっかり理解してほしい。

図1●X-FRAME-OPTIONSによるクリックジャッキング攻撃の対策状況

 クリックジャッキング攻撃によると思われる事件が複数発生していたため、2013年2月から3月にかけて、IPAではウェブサイトでクリックジャッキング攻撃への対策の一つである「X-FRAME-OPTIONS」の導入が進んでいるかを調査した。その結果、対策が施されていたウェブサイトは56サイトのうちわずか3サイトだけ(図1)。まだ現実にはクリックジャッキング攻撃への対策は進んでいるとはいえる状態にはなかった。

クリックジャッキング攻撃とは?

 クリックジャッキング攻撃を端的に言うと「ユーザーを視覚的にだまして、正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃」である。最近は、ソーシャルメディア(SNS)サイトなどウェブサイト上で「非公開」としていたプライバシー情報を「公開」に変更するようにユーザーを導くために使われるなど、情報漏えいを狙う攻撃でよく使われている。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら