クリックジャッキング対策済みサイトは一部のみ、IPAが解説レポートを公開

　独立行政法人情報処理推進機構（IPA）は26日、知らないうちにプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況について実施した調査結果と、対策のポイントをまとめた技術レポートを公開した。

　クリックジャッキング攻撃とは、表示しているウェブページとは別のページをiframeなどで読み込み、CSSのopacityプロパティなどを使用して透明にして重ね、透明にしたページのボタンなどをユーザーにクリックさせる手法のこと。SNSなどのサービスにログインした状態でこの攻撃を受けると、非公開にしていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の1つとなる。

　クリックジャッキング攻撃の手法は2008年に指摘され、対策としてHTTPレスポンスヘッダーに「X-FRAME-OPTIONS」が出力された場合には、ウェブブラウザー側でframe要素やiframe要素で表示できる範囲を制限することが提唱された。既にこの仕組みは、Internet Explorer、Safari、Firefox、Google Chrome、Operaなどの主要ブラウザーに採用されている。

　IPAでは2013年2月～3月に、クリックジャッキング攻撃の対策状況について、ログイン機能を持ちウェブサイト上でユーザー情報の変更などができる、日本人向けにサービスを提供していると思われるウェブサイト56件に調査を実施。その結果、対策済みだったのは3サイトのみで、残り53サイトでは未対策であることが判明した。IPAではこれらの未対策のウェブサイト運営者に連絡を行っている。

　調査では、X-FRAME-OPTIONSヘッダーを付与していないことを未対策の判断基準としており、対策が進んでない理由としては、仕組みや対策方法が理解されていないことにあると推測。IPAでは、クリックジャッキング攻撃への対策が進むよう、ウェブサイトの構築や運営に携わる技術者を想定した、仕組みと対策について解説したレポートを公表した。