クリック‐ジャッキング【click jacking】
クリックジャッキング
【英】clickjacking
クリックジャッキングとは、Webブラウザ上のリンクに重ねるようにして他のリンクや機能を設置し、クリック操作によってユーザーが意図しない操作を実行させようとする技術のことである。または、その技術による攻撃方法のことである。
クリックジャッキングはブラウザの脆弱性を利用してWebページ上のリンクに仕掛けを設置するようにはたらく。ユーザーがリンクをクリックしようとすると、リンク上に重ねられたリンクやボタンが機能する。そのボタンは、他のWebサイトの商品購入ボタンであったり、あるいはセキュリティ上の機能を解除する設定ボタンであったりする可能性がある。クリックさせられたりする可能性があるという。
一般的なWebサイトの脆弱性は、JavaScriptを悪用したものが多いとされるが、クリックジャッキングはJavaScriptではなく、Adobe Flashに代表されるメディアプレーヤーの多くで実現可能と指摘されている。また、主要なWebブラウザの大半が、クリックジャッキングの脅威を排除できないと言われている。
クリックジャッキングの脅威は2008年の半ばに初めて報告された。その報告を受けてAbobe Flahが修正アップデートをリリースするなど、ブラウザやメディアプレーヤーを提供している各社は対応を急いでいる。
ネットワーク攻撃: | カウンターインテリジェンス カミンスキー攻撃 クラッカー クリックジャッキング マインドクラッシャー メール爆弾 メイド攻撃 |
クリックジャッキング
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/07/22 00:38 UTC 版)
クリックジャッキング(クリックジャック攻撃、Clickjacking、User Interface redress attack、UI redress attack、UI redressing)は、ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である[1][2][3]。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがある。様々なウェブブラウザやプラットフォームに共通するセキュリティ上の問題といえる[4][5]。
なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである[6]。
概要
攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。
このとき、「真正な」ページ(たとえばソーシャル・ネットワーキング・サービスの公式サイト)を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。
クリックジャッキングはConfused deputy problem(コンピュータのもつ権限を悪用させられる問題)の一種と捉えることができる[7]。
実例
- Flashを利用し、Webカメラやマイクを作動させる
- ソーシャル・ネットワーキング・サービスのプロフィールの公開設定を変更させる
- Twitterで誰かをフォローさせる[8]
- Facebookでリンクをシェアさせる[9][10]
2009年3月、はまちや2がはてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した[11]。
対策
利用者側
Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない[12][13]。
提供者側
クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、HTTPレスポンスヘッダーにX-FRAME-OPTIONS
を含めることで、そのウェブページを他のサイトのページのiframeに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。
脚注
- ^ Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
- ^ Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
- ^ Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
- ^ Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。
- ^ Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
- ^ You don't know (click)jack Robert Lemos, October 2008
- ^ The Confused Deputy rides again!, Tyler Close, October 2008
- ^ Daniel Sandler (2009年2月12日). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。
- ^ Krzysztof Kotowicz (2009年12月21日). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。
- ^ BBC (2010年6月3日). “Facebook "clickjacking" spreads across site”. BBC News 2010年6月3日閲覧。
- ^ Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。
- ^ Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。
- ^ “NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。
関連項目
- クロスサイトスクリプティング
- フィッシング (詐欺)
- ブラウザセキュリティ
外部リンク
- 安全なウェブサイトの作り方 - 1.9 クリックジャッキング:IPA 独立行政法人 情報処理推進機構
- IPA テクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの「クリックジャッキング」に関するレポート (PDF) - 情報処理推進機構
- クリックジャッキング対策済みサイトは一部のみ、IPAが解説レポートを公開- インプレス
- X-FRAME-OPTIONS によるクリックジャッキング対策 - JPCERT/CC
- 「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か - ITmedia
- クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告 - ZDNet
- 正体が見えた「クリックジャッキング」 - 日経ITpro
- UI Redressing: Attacks and Countermeasures Revisited[リンク切れ] Marcus Niemietz, Ruhr University Bochum(Germany)
- ClickJacking Links collected by Steve Gibson of GRC.com
クリックジャッキング
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「クリックジャッキング」の解説
利用者が開くページのボタン(次ページに進むボタンなど)の上に、透明化したボタン(攻撃者に送金するボタン)を重ねて表示する。ユーザが次ページを表示するつもりでボタンを押すと、送金ボタンが押されてしまい、攻撃者に送金されてしまう。
※この「クリックジャッキング」の解説は、「サイバーセキュリティ」の解説の一部です。
「クリックジャッキング」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- クリックジャッキングのページへのリンク