クリックジャッキングとは？

詳細解説

クリックジャッキング（Clickjacking）は、攻撃者が用意した悪意のあるWebページ上に、透明または見えにくいiframeで正規のWebサイトを重ね表示（オーバーレイ）し、ユーザーが偽のUI（ボタン・リンク等）をクリックしていると思わせながら、実際には透明なiframe内の正規サイト上の意図しない操作（ボタンクリック・フォーム送信・設定変更等）を実行させる攻撃です。UIリドレッシング（UI Redressing）とも呼ばれます。攻撃の具体例は「ゲームの攻略情報ページ」に見せかけたサイトの下に透明なiframeでSNSの「友達全員に共有する」ボタンを重ね、ユーザーが攻略ページのボタンをクリックした瞬間にSNSでスパム共有が実行されるケースや、銀行サイトの「送金ボタン」を透明iframeで重ねてクリックを誘導するケースなどがあります。対策の最重要手段はX-Frame-Optionsヘッダー（DENY/SAMEORIGIN設定でiframe埋め込みを制限）またはContent Security Policy（CSP）のframe-ancestorsディレクティブの使用です。ユーザー側での対策は困難で、主にWebサーバー側でのHTTPレスポンスヘッダー設定が有効です。CSRFとの違いはCSRFが「認証済みユーザーのリクエストを偽装」するのに対し、クリックジャッキングは「ユーザーのクリック操作自体をハイジャック」する点です。ITパスポート試験では「クリックジャッキングの仕組み」「X-Frame-Optionsによる対策」が出題されます。

ITパスポートでの出題ポイント

• 1透明iframeで正規サイトを重ね、意図しないクリック操作を実行させる攻撃
• 2SNSスパム共有・不正送金・設定変更などが主な被害
• 3X-Frame-Options（DENY/SAMEORIGIN）またはCSP frame-ancestorsで対策
• 4ユーザー側での対策は困難、サーバー側のヘッダー設定が有効

関連用語