クリックジャッキングとは?攻撃事例と対策「X-FRAME-OPTIONS」の設定方法を解説!
クリックジャッキングという言葉を聞いたことがありますか。インターネットを利用する上で、避けて通れないのが、クリックジャッキングです。本記事では、クリックジャッキングの攻撃事例と、対策について詳しく解説していく記事になっています。是非参考にしてください。
目次
クリックジャッキングについて
クリックジャッキングと聞いても、何のことか分からないという人は多いかもしれません。クリックジャッキングとは、インターネットを利用した際、悪質サイトへのページを透明にし、見えないようにして、通常のインターネットで表示されたページの上に、組み込むことを言います。
透明なボタンを配置するクリックジャッキングとは
透明なボタンを配置するクリックジャッキングとは、インターネットを悪用したサイバー攻撃の1つであり、利用者側には不利益しかありません。利用者側からは、悪質サイトが見えないので、気づくことなくクリックしてしまいます。
インターネットの利用者は非常に多く、生活する上でなくてはならないものですが、クリックジャッキングによって、被害も増加の一途をたどっています。
クリックジャッキングの仕組み
クリックジャッキングの仕組みですが、具体的に説明すると、下のような当選のご案内ページがあったとしたら、「クリック!」のところをクリックすると、悪質なページが表示されてしまうのです。当選のご案内ページはフェイクであり、このページに悪質なページを透明にして組み込み、見えないようにしているのです。
利用者は、そのことに気づかず、「クリック!」に組み込まれた透明ボタンをクリックすることで、悪質サイトへ誘導されてしまい、被害に合ってしまうのです。
クリックジャッキングの被害例
クリックジャッキングの仕組みを解説しましたが、実際のクリックジャッキングにおける被害例を解説していきます。被害例を知ることで、今後の対策につながります。
クリックジャッキングでできること
クリックジャッキングでできることとは、透明ボタンをクリックしてしまった場合、悪質なサイトへと誘導されてしまいます。また、TwitterやFacebookなどのSNSで、知らない人をフォローさせたり、リンクをシェアさせたりします。
更には、Webカメラ・マイクなどを作動させてしまうこともあります。様々な方法によって、個人情報を盗み、PC端末やSNSのアカウントを乗っ取ってしまうなどの攻撃を行うのです。
クリックジャッキングの攻撃手法とは
クリックジャッキングの攻撃手法とは、悪質なページを透明化するために、iframe(インラインフレーム)というHTMLタグを使って、透明にしています。iframe(インラインフレーム)を使うことで、通常のWebページにかぶせることができ、利用者をうまくだまし、クリックさせることができます。
クリックジャッキングの攻撃事例
クリックジャッキングの攻撃事例とは、普段から利用しているWebページで、商品を購入する際、「購入する」ボタンをクリックしたら、会員情報が削除されてしまったという事例があります。
利用者側からすれば、商法を購入したと思っていますが、実際はiframe(インラインフレーム)によって透明化されたボタンがあり、会員情報が削除されてしまったというわけです。この他に、SNSでの被害もあります。
Twitterでの被害
SNSでは、Twitterでの被害がありました。Twitter内で、クリックしてはいけないというメッセージ及びリンクが、掲載されました。クリックしてはいけないというメッセージ及びリンクには、クリックジャッキングが組み込まれており、クリックすると、自分のアカウントにも同じリンクが掲載されます。
それをまた別の人がクリックしていき、被害が爆発的に広がっていきました。リンクが掲載されるだけで、アカウントを乗っ取られることはありませんでしたが、悪意のある誰かによって引き起こされた、クリックジャッキングの被害です。
Facebookでの被害
SNSの被害は、Facebookでも起きました。利用者が興味を持っている内容や、ニュースなどを、ウォールに投稿し、そこに含まれているリンクをクリックさせます。そうすると、自動的に利用者の友達にもウォールが投稿されます。そして、その友達がクリックすると、また別の誰かにウォールが投稿され被害が拡大していきました。
このウォール投稿にも、クリックジャッキングが組み込まれていたのです。また、利用者が興味を持ってクリックするように、投稿内容も有名人に関連性があるように作られており、ドメインも投稿内容と同じく、有名人と関連性があるものになっていました。そうすることで、より多くの人が興味を持ち、クリックさせるためです。
また、この男性は10年間、毎日自分の顔の写真を撮りました、という内容のリンクもあり、利用者の興味を引くものもありました。しかし、クリックしてしまうと、リンク先にページが飛び、悪質サイトが表示されてしまいます。
狙いは、アウント情報などを盗むことです。個人情報だけでなく、金銭的なトラブルにも発展します。Webページ上に、クリックジャッキングが組み込まれている場合、利用者側が見ているページと、実際のページの内容は違います。
それにより、利用者側は攻撃を受けてしまうのです。クリックジャッキングには、種類が多様にあり、事例も数多くあります。よって、安易にクリックしないようにすることが大切です。
クリックジャッキングへの対策
クリックジャッキングから、攻撃を受けないためには、対策が必要です。対策をきちんと設定すれば、攻撃を受けることを防ぐことができます。Webで閲覧する側の対策と、Webサイト運営側の対策とを、それぞれ解説していきます。
Webで閲覧する側の対策
Webで閲覧する側の対策とは、Google Chromeなど、ブラウザの設定を変更することです。Java ScriptとFlashをOFFにすることで、クリックジャッキングで組み込まれた、悪質なページが表示されないようになります。これは、悪質なページを表示させるためのコードが、機能しなくなるためです。
よって、透明化されたページが表示されなくなり、クリックジャッキングの攻撃を受けることがなくなります。ブラウザの設定方法は、「Google Chrome」を起動したら、画面右上にある「・・・」をクリックします。
「設定」をクリックします。
「詳細設定」をクリックします。
「サイトの設定」をクリックします。
「Java Script」と「Flash」をそれぞれクリックして、設定を「OFF」にしてください。
これで、クリックジャッキングで組み込まれた、悪質なページが表示されないようになります。
Webサイト運営側の対策
Webサイト運営側の対策とは、X-FRAME-OPTIONSを利用することです。X-FRAME-OPTIONSを利用することで、クリックジャッキングで組み込まれた、悪質なページが表示されないようになります。X-FRAME-OPTIONSの設定値は3つあり、設定することで、透明化したページの表示を防ぐことができます。
X-FRAME-OPTIONSの設定値は、以下のようになっています。
- DENY:iframe(インラインフレーム)内で、ページの表示を全て拒否します。
- SAMEORIGIN:iframe(インラインフレーム)内で、ページの表示を同一ドメインのみ許可します。
- ALLOW-FROM uri:iframe(インラインフレーム)内で、ページの表示を指定したドメインのみ許可します。
X-FRAME-OPTIONSの設定方法
X-FRAME-OPTIONSの設定方法ですが、サーバーの設定(httpd.conf)に、以下の内容を追加してください。
- DENY:Header always append X-Frame-Options DENY
- SAMEORIGIN:Header always append X-Frame-Options SAMEORIGIN
- ALLOW-FROM uri:Header always append X-Frame-Options ALLOW-FROM http://example.jp
基本的にはDENYで設定しておき、どうしても読み込む必要がある場合のみ、SAMEORIGINやALLOW-FROM uriに設定しておくことをオススメします。
クリックジャッキングの被害が出る前に対策をとろう!
今回は、クリックジャッキングとは何か、攻撃事例と対策ツール、「X-FRAME-OPTIONS」の設定方法を解説しました。クリックジャッキングの攻撃事例は数多くあり、脅威となっています。しかし、対策を講じれば防ぐことはできます。
クリックジャッキングの被害が出る前に、ご紹介した方法を実行して、安全にインターネットを利用してください。
