図1 見えないボタンを押させられてしまう(イラスト:なかがわ みさこ)
図1 見えないボタンを押させられてしまう(イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]
図2 Webカメラやマイクを乗っ取られてのぞき見される(イラスト:なかがわ みさこ)
図2 Webカメラやマイクを乗っ取られてのぞき見される(イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]

 クリックジャッキングとは,WebブラウザのユーザーがWebコンテンツ上のボタンを気付かないうちにクリックさせられて,クラッカにユーザーの振る舞いをコントロールされてしまうことを言う。そのしくみは,Webブラウザやプラグイン・ソフトのぜい弱性を利用したものだ。

 クリックジャッキングされる可能性は,「Internet Explorer」,「Firefox」,「Opera」,「Safari」など,主要なWebブラウザすべてで指摘されている。また,プラグイン・ソフトでは,米アドビ システムズのFlash Player 9などでクリックジャッキングされる可能性がある。

 クリックジャッキングでよく取り上げられる手法は,ユーザーがアクセスしているWebサイトに“見えないボタン”を配置しておき,そのボタンをユーザーに押させるというものである。

 例えば,あるWebサイトを見ていて,次のページに進むかどうかを確認するための「OK」と「NG」のボタンが表示されたとする。それ以上進むのをやめようと判断したユーザーは,「NG」を押す。ところが,クリックジャッキングをしかけるクラッカは,その「NG」のボタンと同じ位置に,見えない「OK」のボタンを配置しておくのである。ユーザーは「NG」のボタンを押しているつもりでも,実際には「OK」のボタンを押してしまうことになる(図1)。

 「NG」の意思表示をしているのにもかかわらず「OK」のボタンを押させられてしまうため,Webサイト上でのユーザーの振る舞いは完全にクラッカに操られてしまう。知らないうちに買い物をさせられるように誘導されているかもしれないし,自分の個人情報を何度も送信させられているかもしれないのである。

 プラグイン・ソフトを対象としたものとして,Flash Playerを標的にしたクリックジャッキングの手法を見てみよう。

 これは,Webサイト上の見えないボタンをクリックさせることでFlash Playerのセキュリティ機能をオフにし,ユーザーのパソコンにつながっているWebカメラやマイクなどを乗っ取るというもだ。

 まず,クラッカはWebサイト上でユーザーが押そうとするボタンと同じ位置にFlash Playerのセキュリティ設定を変更するためのリンクを用意し,これをユーザーに押させる。これでユーザーが気付かないうちに,Flashのセキュリティ設定は変わってしまう。

 クラッカは,次にWebカメラやマイクを乗っ取るために,Webブラウザにスクリプトを読み込ませる。こうしてWebカメラやマイクを乗っ取ったクラッカは,のぞき見や盗聴ができるようになる(図2)。

 なお,最新版のFlash Playerは,このクリックジャッキングに対応済みであり安心だ。アドビ システムズでは,最新版のFlash Playerにバージョンアップすることを推奨している。