情報セキュリティマネジメント試験 用語辞典

クリックジャッキング
【Click Jacking】
Webページ上のコンテンツをクリックしようとしたユーザを視覚的にだまし、攻撃者が用意した外部サイトのWebページ上をクリックさせる行為。利用者がアクセスしたページの表面に、何らかの手段で取り込んだ別ページを(クリックイベントは有効なまま)透明化して被せる手法がよく用いられる。「ユーザのクリックを奪い取る」という攻撃の特徴からクリックジャッキングと呼ばれる。

具体的には、次のような手順で攻撃を成立させる。
  1. ユーザがサイトAにログインしている状態で、悪意あるページを閲覧する
  2. 悪意あるページは、サイトAのページをiframe要素などによって自身のページコンテンツとして取り込む
  3. 悪意あるページは、CSSプロパティなどの設定でサイトAを透明表示にする
  4. 悪意あるページは、サイトA画面上の不正操作させたい箇所へのクリックを誘導するページを表示する
  5. 悪意あるページは、透明状態のサイトAを"3"のページの前面に配置する
  6. この状態でユーザが誘導にそってクリックをすると、意図せずに前面にあるサイトA上の操作を実行してしまう
↓ 用語データを見る
分野:
情報セキュリティ
サイバー攻撃手法
出題歴:
28年春期問22
重要度:
(Wikipedia クリックジャッキングより)

クリックジャッキング(クリックジャック攻撃、Clickjacking、User Interface redress attack、UI redress attack、UI redressing)は、ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがある。様々なウェブブラウザやプラットフォームに共通するセキュリティ上の問題といえる。

なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである。

概要

攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。

このとき、「真正な」ページ(たとえばソーシャル・ネットワーキング・サービスの公式サイト)を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。

クリックジャッキングはConfused deputy problem(コンピュータのもつ権限を悪用させられる問題)の一種と捉えることができる。

実例

  • Flashを利用し、Webカメラやマイクを作動させる
  • ソーシャル・ネットワーキング・サービスのプロフィールの公開設定を変更させる
  • Twitterで誰かをフォローさせる
  • Facebookでリンクをシェアさせる

2009年3月、はまちや2がはてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した。

対策

利用者側

Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない。

提供者側

クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、にX-FRAME-OPTIONSを含めることで、そのウェブページを他のサイトのページのiframeに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。

出題例

クリックジャッキング攻撃に該当するものはどれか。

[出典]情報セキュリティマネジメント 平成08年春期 問18[出典]情報セキュリティ 平成24年春期 問1

  • Webアプリケーションの脆弱性を悪用し,Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって,利用者のブラウザのキャッシュを偽造する。
  • Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し,利用者が気づかないうちに標的サイト上で不正操作を実行させる。
  • ブラウザのタブ表示機能を利用し,ブラウザの非活性なタブの中身を,利用者が気づかないうちに偽ログインページに書き換えて,それを操作させる。
  • 利用者のブラウザの設定を変更することによって,利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
正解 

「サイバー攻撃手法」の用語

「情報セキュリティ」の他の分野

「セキュリティ」の他のカテゴリ

このページのWikipediaよりの記事は、ウィキペディアの「クリックジャッキング」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。


Pagetop