PR
PR
クリックジャッキングとは
クリックジャッキングは、画面上に見えない別サイトを重ね、利用者のクリックを本来と違う操作にすり替える攻撃です。普通のボタンを押したつもりでも、透明にされた標的サイトのボタンを押してしまい、勝手な「いいね」や設定変更、購入などが起きるおそれがあります。
手口の多くは、他ページを埋め込めるiframeを使い、その要素をCSSで透明化して上に配置します。位置やサイズを巧妙に合わせることで一枚の画面に見せかけ、クリックの行き先だけを奪います。派手なボタンやポップアップで注意をそらす演出が組み合わされることもあります。
防ぐには、サイト側でX-Frame-OptionsやContent-Security-Policyのframe-ancestorsを設定し、外部からのフレーム埋め込みを拒否します。利用者も、不審なサイトでログインしたまま重要操作をしない、確認ダイアログをよく見るなどの注意が有効です。要は「見えない重ね合わせ」によるクリック乗っ取りを理解し、備えることが大切です。
