「クリックジャッキング」とは、ユーザーを視覚的にだまして、正常に見えるページとは別のページをクリックさせる攻撃のこと。ユーザーのクリックを乗っ取る(「hijack」の「jack」と同義)ことから、こう呼ばれている。

 まだ国内の多くのサイトで対策が進んでいないクリックジャッキング攻撃について、その実態と防ぎ方を4回に分けて解説する。サイトを運営する担当者が気を付けて対策を打つものだが、ユーザーも被害が及ぶものだけに、その仕組みをしっかり理解してほしい。

図1●X-FRAME-OPTIONSによるクリックジャッキング攻撃の対策状況

 クリックジャッキング攻撃によると思われる事件が複数発生していたため、2013年2月から3月にかけて、IPAではウェブサイトでクリックジャッキング攻撃への対策の一つである「X-FRAME-OPTIONS」の導入が進んでいるかを調査した。その結果、対策が施されていたウェブサイトは56サイトのうちわずか3サイトだけ(図1)。まだ現実にはクリックジャッキング攻撃への対策は進んでいるとはいえる状態にはなかった。

クリックジャッキング攻撃とは?

 クリックジャッキング攻撃を端的に言うと「ユーザーを視覚的にだまして、正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃」である。最近は、ソーシャルメディア(SNS)サイトなどウェブサイト上で「非公開」としていたプライバシー情報を「公開」に変更するようにユーザーを導くために使われるなど、情報漏えいを狙う攻撃でよく使われている。