クリックジャッキング クリックジャッキングの概要

ウィキペディア
索引トップ 用語の索引 ランキング カテゴリー
ウィキペディアウィキペディア

クリックジャッキング

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/07/22 00:38 UTC 版)

情報セキュリティ > 脆弱性・攻撃手法 > アクションスプーフィング > クリックジャッキング

なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである[6]

概要

攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。

このとき、「真正な」ページ(たとえばソーシャル・ネットワーキング・サービスの公式サイト)を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。

クリックジャッキングはConfused deputy problem(コンピュータのもつ権限を悪用させられる問題)の一種と捉えることができる[7]

実例

2009年3月、はまちや2はてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した[11]

対策

利用者側

Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない[12][13]

提供者側

クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、HTTPレスポンスヘッダーX-FRAME-OPTIONSを含めることで、そのウェブページを他のサイトのページのiframeに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。


脚注
  1. ^ Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
  2. ^ Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
  3. ^ Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
  4. ^ Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。
  5. ^ Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
  6. ^ You don't know (click)jack Robert Lemos, October 2008
  7. ^ The Confused Deputy rides again!, Tyler Close, October 2008
  8. ^ Daniel Sandler (2009年2月12日). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。
  9. ^ Krzysztof Kotowicz (2009年12月21日). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。
  10. ^ BBC (2010年6月3日). “Facebook "clickjacking" spreads across site”. BBC News. http://news.bbc.co.uk/2/hi/technology/10224434.stm 2010年6月3日閲覧。 
  11. ^ Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。
  12. ^ Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。
  13. ^ NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。

[前の解説]
[続きの解説]

「クリックジャッキング」の続きの解説一覧

急上昇のことば

セックスワーカー
バレーボール日本女子代表
福岡ソフトバンクホークスの選手一覧
黄眉大王
シャバい
英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

カテゴリ一覧

全て

ビジネス

業界用語

コンピュータ

電車

自動車・バイク

工学

建築・不動産

学問

文化

生活

ヘルスケア

趣味

スポーツ

生物

食品

人名

方言

辞書・百科事典

すべての辞書の索引






















記号

Weblioのサービス

「クリックジャッキング」の関連用語

1
クリックジャック攻撃 デジタル大辞泉
100% |||||

2
Likeジャッキング
IT用語辞典
14% |||||

3
ソフトウェアの脆弱性
ウィキペディア小見出し辞書
14% |||||

4
不正送金ウィルス
ウィキペディア小見出し辞書
14% |||||

5
スプーフィング攻撃
百科事典
10% |||||

6
Return-to-libc攻撃
百科事典
8% |||||

7
マン・イン・ザ・ブラウザ
百科事典
8% |||||

8
HTTP Strict Transport Security
百科事典
6% |||||

9
HTTPヘッダ・インジェクション
百科事典
6% |||||

10
クロスサイト・クッキング
百科事典
6% |||||

クリックジャッキングのお隣キーワード

クリックエアー

クリックオン契約

クリッククリップ

クリックケミストリー

クリックゲーム

クリックコール

クリックジャッキング

クリックジャック攻撃

クリックス (企業)

クリックストリーム

クリックスヤスダ

クリックスルー契約

クリックスルー率

検索ランキング

   

 英語⇒日本語
日本語⇒英語		    


クリックジャッキングのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのクリックジャッキング (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。

©2024 GRAS Group, Inc.RSS