クリックジャッキングとは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > デジタル大辞泉 > クリックジャッキングの意味・解説 

クリック‐ジャッキング【click jacking】

読み方:くりっくじゃっきんぐ

ウェブサイト利用した悪意ある攻撃の一。無害に見えウェブサイトだが、リンクやボタンなどに仕掛け施されており、閲覧者クリックすると、別のウェブサイトでの操作反映されるというもの。クリックジャック攻撃


クリックジャッキング

別名:クリックジャッククリックジャック攻撃クリック乗っ取り
【英】clickjacking

クリックジャッキングとは、Webブラウザ上のリンクに重ねるようにして他のリンクや機能設置しクリック操作によってユーザー意図しない操作実行させようとする技術のことである。または、その技術による攻撃方法のことである。

クリックジャッキングはブラウザ脆弱性利用してWebページ上のリンクに仕掛け設置するようにはたらく。ユーザーがリンクをクリックしようとすると、リンク上に重ねられたリンクやボタン機能する。そのボタンは、他のWebサイト商品購入ボタンであったり、あるいはセキュリティ上の機能解除する設定ボタンであったりする可能性がある。クリックさせられたりする可能性があるという。

一般的なWebサイト脆弱性は、JavaScript悪用したものが多いとされるが、クリックジャッキングはJavaScriptではなくAdobe Flash代表されるメディアプレーヤー多く実現可能と指摘されている。また、主要なWebブラウザ大半が、クリックジャッキングの脅威排除できないと言われている。

クリックジャッキングの脅威2008年半ば初め報告された。その報告受けてAbobe Flahが修正アップデートリリースするなど、ブラウザメディアプレーヤー提供している各社は対応を急いでいる。


クリックジャッキング

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/07/22 00:38 UTC 版)

情報セキュリティ > 脆弱性・攻撃手法 > アクションスプーフィング > クリックジャッキング

クリックジャッキング(クリックジャック攻撃、Clickjacking、User Interface redress attack、UI redress attack、UI redressing)は、ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である[1][2][3]。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがある。様々なウェブブラウザプラットフォームに共通するセキュリティ上の問題といえる[4][5]

なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである[6]

概要

攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。

このとき、「真正な」ページ(たとえばソーシャル・ネットワーキング・サービスの公式サイト)を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。

クリックジャッキングはConfused deputy problem(コンピュータのもつ権限を悪用させられる問題)の一種と捉えることができる[7]

実例

2009年3月、はまちや2はてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した[11]

対策

利用者側

Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない[12][13]

提供者側

クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、HTTPレスポンスヘッダーX-FRAME-OPTIONSを含めることで、そのウェブページを他のサイトのページのiframeに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。

脚注

  1. ^ Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
  2. ^ Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
  3. ^ Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
  4. ^ Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。
  5. ^ Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
  6. ^ You don't know (click)jack Robert Lemos, October 2008
  7. ^ The Confused Deputy rides again!, Tyler Close, October 2008
  8. ^ Daniel Sandler (2009年2月12日). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。
  9. ^ Krzysztof Kotowicz (2009年12月21日). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。
  10. ^ BBC (2010年6月3日). “Facebook "clickjacking" spreads across site”. BBC News. http://news.bbc.co.uk/2/hi/technology/10224434.stm 2010年6月3日閲覧。 
  11. ^ Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。
  12. ^ Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。
  13. ^ NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。

関連項目

外部リンク


クリックジャッキング

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)

サイバーセキュリティ」の記事における「クリックジャッキング」の解説

利用者が開くページボタン(次ページに進むボタンなど)の上に、透明化したボタン攻撃者送金するボタン)を重ねて表示する。ユーザが次ページ表示するつもりでボタンを押すと、送金ボタン押されてしまい、攻撃者送金されてしまう。

※この「クリックジャッキング」の解説は、「サイバーセキュリティ」の解説の一部です。
「クリックジャッキング」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。

ウィキペディア小見出し辞書の「クリックジャッキング」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。 お問い合わせ


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「クリックジャッキング」の関連用語

クリックジャッキングのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



クリックジャッキングのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
デジタル大辞泉デジタル大辞泉
(C)Shogakukan Inc.
株式会社 小学館
IT用語辞典バイナリIT用語辞典バイナリ
Copyright © 2005-2024 Weblio 辞書 IT用語辞典バイナリさくいん。 この記事は、IT用語辞典バイナリの【クリックジャッキング】の記事を利用しております。
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのクリックジャッキング (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
ウィキペディアウィキペディア
Text is available under GNU Free Documentation License (GFDL).
Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、Wikipediaのサイバーセキュリティ (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

©2024 GRAS Group, Inc.RSS