Internet Watch logo
記事検索
最新ニュース

主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは

JPCERT/CCが対策技術メモを公開

クリックジャッキングの概念図。標的サイトを透過指定し、他のHTMLコンテンツの上に配置する

「X-FRAME-OPTIONS」指定の有無による挙動の違い
 JPCERTコーディネーションセンター(JPCERT/CC)は3日、ユーザーのWebブラウザ上のクリック操作を乗っ取る「クリックジャッキング」と呼ばれる攻撃について、攻撃の概要と対策法を示す技術メモを公開した。

 クリックジャッキングとは、透過指定されたiframeなどの要素に標的サイトのコンテンツを読み込み、これを攻撃者サイトの要素よりも上に配置することで、Webブラウザの画面上には攻撃者サイトの要素だけを表示させ、その上でユーザーが行うクリック操作を標的サイトに対して行わせるもの。

 クリックジャッキングは、JavaScriptを無効にしていても影響を受け、標的サイトの任意の要素に対して画面遷移を含む複数回のクリックをさせることが可能といった特徴があるという。この手法を攻撃者が悪用することで、悪意のあるサイトに誘導されたユーザーが、気付かない間に標的サイト上で不正操作(ショッピングカートの操作、サービスからの退会など)を引き起こすクリックをさせられる可能性があり、攻撃事例はまだ少ないものの、2月にはTwitterにおいて利用者の意図しない投稿をさせられてしまう事例が発生したという。

 調査によれば、現時点では主要なWebブラウザのすべてがこのクリックジャッキングの問題を抱えているという。対策としては、Webコンテンツの側でJavaScriptを使った描画制御を行うことで、コンテンツが他のフレームが読み込まれている場合にはダミーの画面を表示するといった手法があるが、ユーザーがJavaScriptをオフにしていた場合には効果を発揮しないという問題がある。

 Webブラウザの側では、Internet Explorer 8(IE8)にクリックジャッキング問題の解決を目的とした機能の追加が予定されており、1月に公開された「IE8 RC1」にもその機能が実装されている。また、Firefoxのアドオン「NoScript」にも、同様の機能が実装されている。ただし、この機能は、Webサーバーの側で「X-FRAME-OPTIONS」というHTTPレスポンスヘッダーを指定することで、コンテンツが外部サイト上のフレームに表示されることを拒否することが可能となる。

 技術メモでは、「X-FRAME-OPTIONS」が効力を発揮するには、これに対応したブラウザが一般ユーザーに行き渡るとともに、クリックジャッキング対策が必要なすべてのサイトがこのヘッダーを送出することが条件になると説明。ショッピングサイトやオンラインバンキングなど、クリックジャッキングによる脅威が大きいと考えられるサイトに対して、ヘッダーの導入を検討することを呼びかけている。


関連情報

URL
  技術メモ - クリックジャッキング対策(PDF)
  http://www.jpcert.or.jp/ed/2009/ed090001.pdf
  JPCERT/CC
  http://www.jpcert.or.jp/

関連記事
「Internet Explorer 8」のリリース候補版が公開(2009/01/27)


( 三柳英樹 )
2009/03/03 18:38

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.