クリックジャッキング 【clickjacking】 クリックジャック攻撃

攻撃者は閲覧者にマウスなどで特定の位置を操作するよう仕向けるページを作成し、その上に被せるようにiframeタグで外部の著名サイト（SNSや商取引サイトなど）を表示する。外部サイトの方は見た目が透明になるような表示設定を行い、閲覧者に存在を気づかせないようにする。

閲覧者が攻撃用ページをWebブラウザに表示させると、下側にある攻撃用ページの内容しか見えないため、これを操作しようとしてボタンやリンクのクリック等の操作を行うが、実際には上に覆いかぶさっている透明な外部サイトの一部をクリックしてしまい、当該サイトで意図しない操作を実行させられてしまう。

標的サイトの登録利用者がログイン状態にある場合に重大な設定変更（投稿の公開範囲の変更、アカウントの削除等）を行うよう誘導する設計になっていることが多く、その場合は閲覧者が当該サイトに登録していないかログアウト状態であれば影響は受けない。

閲覧者側の操作や設定で完全に遮断することは難しいが、Webサイト側では攻撃に悪用されないようHTTPヘッダの「X-Frame-Options」を必ず指定するようにして、外部サイトのiframe内に表示させないといった対策はできる。また、単純なクリック操作で重大な操作が完結しないよう、操作にキー入力などを組み合わせたり、重要な変更の直前に改めて利用者認証を求めるといった対策もある。

関連用語

フレーム

【frame】

IPA

【Information-technology Promotion Agency】

OS

【Operating System】

Webサイト

【website】

Webページ

【web page】

アカウント

【account】

クリック

【click】

サーバ

【server】

パソコン

【PC】

サイバー攻撃

【cyberattack】

脆弱性

【vulnerability】

SNS

【Social Networking Service】

ブラウザ

【browser】

システム

【system】

ツール

【tool】

データ

【data】

セキュリティ

【security】

リスト

【list】

サイト

【site】

個人情報

【PII】