クリックジャッキングとは?攻撃事例と対策「X-FRAME-OPTIONS」の設定方法を解説!

クリックジャッキングという言葉を聞いたことがありますか。インターネットを利用する上で、避けて通れないのが、クリックジャッキングです。本記事では、クリックジャッキングの攻撃事例と、対策について詳しく解説していく記事になっています。是非参考にしてください。

クリックジャッキングとは?攻撃事例と対策「X-FRAME-OPTIONS」の設定方法を解説!のイメージ

目次

  1. 1クリックジャッキングについて
  2. 2クリックジャッキングの被害例
  3. 3クリックジャッキングの攻撃手法とは
  4. 4クリックジャッキングへの対策
  5. 5クリックジャッキングの被害が出る前に対策をとろう!

クリックジャッキングについて

クリックジャッキングと聞いても、何のことか分からないという人は多いかもしれません。クリックジャッキングとは、インターネットを利用した際、悪質サイトへのページを透明にし、見えないようにして、通常のインターネットで表示されたページの上に、組み込むことを言います。

透明なボタンを配置するクリックジャッキングとは

透明なボタンを配置するクリックジャッキングとは、インターネットを悪用したサイバー攻撃の1つであり、利用者側には不利益しかありません。利用者側からは、悪質サイトが見えないので、気づくことなくクリックしてしまいます。

インターネットの利用者は非常に多く、生活する上でなくてはならないものですが、クリックジャッキングによって、被害も増加の一途をたどっています。

クリックジャッキングの仕組み

クリックジャッキングの仕組みですが、具体的に説明すると、下のような当選のご案内ページがあったとしたら、「クリック!」のところをクリックすると、悪質なページが表示されてしまうのです。当選のご案内ページはフェイクであり、このページに悪質なページを透明にして組み込み、見えないようにしているのです。

利用者は、そのことに気づかず、「クリック!」に組み込まれた透明ボタンをクリックすることで、悪質サイトへ誘導されてしまい、被害に合ってしまうのです。

クリックジャッキングの仕組み

クリックジャッキングの被害例

クリックジャッキングの仕組みを解説しましたが、実際のクリックジャッキングにおける被害例を解説していきます。被害例を知ることで、今後の対策につながります。

クリックジャッキングでできること

クリックジャッキングでできることとは、透明ボタンをクリックしてしまった場合、悪質なサイトへと誘導されてしまいます。また、TwitterやFacebookなどのSNSで、知らない人をフォローさせたり、リンクをシェアさせたりします。

更には、Webカメラ・マイクなどを作動させてしまうこともあります。様々な方法によって、個人情報を盗み、PC端末やSNSのアカウントを乗っ取ってしまうなどの攻撃を行うのです。

クリックジャッキングの攻撃手法とは

クリックジャッキングの攻撃手法とは、悪質なページを透明化するために、iframe(インラインフレーム)というHTMLタグを使って、透明にしています。iframe(インラインフレーム)を使うことで、通常のWebページにかぶせることができ、利用者をうまくだまし、クリックさせることができます。

クリックジャッキングの攻撃事例

クリックジャッキングの攻撃事例とは、普段から利用しているWebページで、商品を購入する際、「購入する」ボタンをクリックしたら、会員情報が削除されてしまったという事例があります。

利用者側からすれば、商法を購入したと思っていますが、実際はiframe(インラインフレーム)によって透明化されたボタンがあり、会員情報が削除されてしまったというわけです。この他に、SNSでの被害もあります。

Twitterでの被害

SNSでは、Twitterでの被害がありました。Twitter内で、クリックしてはいけないというメッセージ及びリンクが、掲載されました。クリックしてはいけないというメッセージ及びリンクには、クリックジャッキングが組み込まれており、クリックすると、自分のアカウントにも同じリンクが掲載されます。

それをまた別の人がクリックしていき、被害が爆発的に広がっていきました。リンクが掲載されるだけで、アカウントを乗っ取られることはありませんでしたが、悪意のある誰かによって引き起こされた、クリックジャッキングの被害です。

Facebookでの被害

SNSの被害は、Facebookでも起きました。利用者が興味を持っている内容や、ニュースなどを、ウォールに投稿し、そこに含まれているリンクをクリックさせます。そうすると、自動的に利用者の友達にもウォールが投稿されます。そして、その友達がクリックすると、また別の誰かにウォールが投稿され被害が拡大していきました。

このウォール投稿にも、クリックジャッキングが組み込まれていたのです。また、利用者が興味を持ってクリックするように、投稿内容も有名人に関連性があるように作られており、ドメインも投稿内容と同じく、有名人と関連性があるものになっていました。そうすることで、より多くの人が興味を持ち、クリックさせるためです。

また、この男性は10年間、毎日自分の顔の写真を撮りました、という内容のリンクもあり、利用者の興味を引くものもありました。しかし、クリックしてしまうと、リンク先にページが飛び、悪質サイトが表示されてしまいます。

狙いは、アウント情報などを盗むことです。個人情報だけでなく、金銭的なトラブルにも発展します。Webページ上に、クリックジャッキングが組み込まれている場合、利用者側が見ているページと、実際のページの内容は違います。

それにより、利用者側は攻撃を受けてしまうのです。クリックジャッキングには、種類が多様にあり、事例も数多くあります。よって、安易にクリックしないようにすることが大切です。

クリックジャッキングへの対策

クリックジャッキングから、攻撃を受けないためには、対策が必要です。対策をきちんと設定すれば、攻撃を受けることを防ぐことができます。Webで閲覧する側の対策と、Webサイト運営側の対策とを、それぞれ解説していきます。

Webで閲覧する側の対策

Webで閲覧する側の対策とは、Google Chromeなど、ブラウザの設定を変更することです。Java ScriptとFlashをOFFにすることで、クリックジャッキングで組み込まれた、悪質なページが表示されないようになります。これは、悪質なページを表示させるためのコードが、機能しなくなるためです。

よって、透明化されたページが表示されなくなり、クリックジャッキングの攻撃を受けることがなくなります。ブラウザの設定方法は、「Google Chrome」を起動したら、画面右上にある「・・・」をクリックします。

クリックジャッキング対策設定画面

「設定」をクリックします。

クリックジャッキング対策設定画面

「詳細設定」をクリックします。

クリックジャッキング対策設定画面

「サイトの設定」をクリックします。

クリックジャッキング対策設定画面

「Java Script」「Flash」をそれぞれクリックして、設定を「OFF」にしてください。

クリックジャッキング対策設定画面

これで、クリックジャッキングで組み込まれた、悪質なページが表示されないようになります。

Webサイト運営側の対策

Webサイト運営側の対策とは、X-FRAME-OPTIONSを利用することです。X-FRAME-OPTIONSを利用することで、クリックジャッキングで組み込まれた、悪質なページが表示されないようになります。X-FRAME-OPTIONSの設定値は3つあり、設定することで、透明化したページの表示を防ぐことができます。

X-FRAME-OPTIONSの設定値は、以下のようになっています。
 

  • DENY:iframe(インラインフレーム)内で、ページの表示を全て拒否します。
  • SAMEORIGIN:iframe(インラインフレーム)内で、ページの表示を同一ドメインのみ許可します。
  • ALLOW-FROM uri:iframe(インラインフレーム)内で、ページの表示を指定したドメインのみ許可します。

X-FRAME-OPTIONSの設定方法

X-FRAME-OPTIONSの設定方法ですが、サーバーの設定(httpd.conf)に、以下の内容を追加してください。
 

  • DENY:Header always append X-Frame-Options DENY
  • SAMEORIGIN:Header always append X-Frame-Options SAMEORIGIN
  • ALLOW-FROM uri:Header always append X-Frame-Options ALLOW-FROM http://example.jp

基本的にはDENYで設定しておき、どうしても読み込む必要がある場合のみ、SAMEORIGINやALLOW-FROM uriに設定しておくことをオススメします。

クリックジャッキングの被害が出る前に対策をとろう!

今回は、クリックジャッキングとは何か、攻撃事例と対策ツール、「X-FRAME-OPTIONS」の設定方法を解説しました。クリックジャッキングの攻撃事例は数多くあり、脅威となっています。しかし、対策を講じれば防ぐことはできます。

クリックジャッキングの被害が出る前に、ご紹介した方法を実行して、安全にインターネットを利用してください。

関連するまとめ

関連するキーワード

人気の記事

人気のあるまとめランキング

新着一覧

最近公開されたまとめ