クリックジャッキングとは?攻撃事例と対策「X-FRAME-OPTIONS」の設定方法を解説!

クリックジャッキングという言葉を聞いたことがありますか。インターネットを利用する上で、避けて通れないのが、クリックジャッキングです。本記事では、クリックジャッキングの攻撃事例と、対策について詳しく解説していく記事になっています。是非参考にしてください。

目次

  1. 1クリックジャッキングについて
  2. 透明なボタンを配置するクリックジャッキングとは
  3. クリックジャッキングの仕組み
  4. 2クリックジャッキングの被害例
  5. クリックジャッキングでできること
  6. 3クリックジャッキングの攻撃手法とは
  7. クリックジャッキングの攻撃事例
  8. Twitterでの被害
  9. Facebookでの被害
  10. 4クリックジャッキングへの対策
  11. Webで閲覧する側の対策
  12. Webサイト運営側の対策
  13. 5クリックジャッキングの被害が出る前に対策をとろう!

クリックジャッキングについて

クリックジャッキングと聞いても、何のことか分からないという人は多いかもしれません。クリックジャッキングとは、インターネットを利用した際、悪質サイトへのページを透明にし、見えないようにして、通常のインターネットで表示されたページの上に、組み込むことを言います。

透明なボタンを配置するクリックジャッキングとは

透明なボタンを配置するクリックジャッキングとは、インターネットを悪用したサイバー攻撃の1つであり、利用者側には不利益しかありません。利用者側からは、悪質サイトが見えないので、気づくことなくクリックしてしまいます。

インターネットの利用者は非常に多く、生活する上でなくてはならないものですが、クリックジャッキングによって、被害も増加の一途をたどっています。

クリックジャッキングの仕組み

クリックジャッキングの仕組みですが、具体的に説明すると、下のような当選のご案内ページがあったとしたら、「クリック!」のところをクリックすると、悪質なページが表示されてしまうのです。当選のご案内ページはフェイクであり、このページに悪質なページを透明にして組み込み、見えないようにしているのです。

利用者は、そのことに気づかず、「クリック!」に組み込まれた透明ボタンをクリックすることで、悪質サイトへ誘導されてしまい、被害に合ってしまうのです。

クリックジャッキングの被害例

クリックジャッキングの仕組みを解説しましたが、実際のクリックジャッキングにおける被害例を解説していきます。被害例を知ることで、今後の対策につながります。

クリックジャッキングでできること

クリックジャッキングでできることとは、透明ボタンをクリックしてしまった場合、悪質なサイトへと誘導されてしまいます。また、TwitterやFacebookなどのSNSで、知らない人をフォローさせたり、リンクをシェアさせたりします。

更には、Webカメラ・マイクなどを作動させてしまうこともあります。様々な方法によって、個人情報を盗み、PC端末やSNSのアカウントを乗っ取ってしまうなどの攻撃を行うのです。

クリックジャッキングの攻撃手法とは

クリックジャッキングの攻撃手法とは、悪質なページを透明化するために、iframe(インラインフレーム)というHTMLタグを使って、透明にしています。iframe(インラインフレーム)を使うことで、通常のWebページにかぶせることができ、利用者をうまくだまし、クリックさせることができます。

クリックジャッキングの攻撃事例

クリックジャッキングの攻撃事例とは、普段から利用しているWebページで、商品を購入する際、「購入する」ボタンをクリックしたら、会員情報が削除されてしまったという事例があります。

利用者側からすれば、商法を購入したと思っていますが、実際はiframe(インラインフレーム)によって透明化されたボタンがあり、会員情報が削除されてしまったというわけです。この他に、SNSでの被害もあります。

Twitterでの被害

SNSでは、Twitterでの被害がありました。Twitter内で、クリックしてはいけないというメッセージ及びリンクが、掲載されました。クリックしてはいけないというメッセージ及びリンクには、クリックジャッキングが組み込まれており、クリックすると、自分のアカウントにも同じリンクが掲載されます。

それをまた別の人がクリックしていき、被害が爆発的に広がっていきました。リンクが掲載されるだけで、アカウントを乗っ取られることはありませんでしたが、悪意のある誰かによって引き起こされた、クリックジャッキングの被害です。

Facebookでの被害

SNSの被害は、Facebookでも起きました。利用者が興味を持っている内容や、ニュースなどを、ウォールに投稿し、そこに含まれているリンクをクリックさせます。そうすると、自動的に利用者の友達にもウォールが投稿されます。そして、その友達がクリックすると、また別の誰かにウォールが投稿され被害が拡大していきました。

このウォール投稿にも、クリックジャッキングが組み込まれていたのです。また、利用者が興味を持ってクリックするように、投稿内容も有名人に関連性があるように作られており、ドメインも投稿内容と同じく、有名人と関連性があるものになっていました。そうすることで、より多くの人が興味を持ち、クリックさせるためです。

また、この男性は10年間、毎日自分の顔の写真を撮りました、という内容のリンクもあり、利用者の興味を引くものもありました。しかし、クリックしてしまうと、リンク先にページが飛び、悪質サイトが表示されてしまいます。

狙いは、アウント情報などを盗むことです。個人情報だけでなく、金銭的なトラブルにも発展します。Webページ上に、クリックジャッキングが組み込まれている場合、利用者側が見ているページと、実際のページの内容は違います。

それにより、利用者側は攻撃を受けてしまうのです。クリックジャッキングには、種類が多様にあり、事例も数多くあります。よって、安易にクリックしないようにすることが大切です。

クリックジャッキングへの対策

クリックジャッキングから、攻撃を受けないためには、対策が必要です。対策をきちんと設定すれば、攻撃を受けることを防ぐことができます。Webで閲覧する側の対策と、Webサイト運営側の対策とを、それぞれ解説していきます。

関連するまとめ

関連するキーワード

この記事のライター
leiyu
皆さんのお役に立てる記事を分かりやすく書いていくライターを目指しています。

人気の記事

新着まとめ