クリックジャッキング

クリックジャッキング（クリックジャック攻撃、Clickjacking、User Interface redress attack、UI redress attack、UI redressing）は、ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である^[1][2][3]。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがある。様々なウェブブラウザやプラットフォームに共通するセキュリティ上の問題といえる^[4][5]。

なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである^[6]。

概要

攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。

このとき、「真正な」ページ（たとえばソーシャル・ネットワーキング・サービスの公式サイト）を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。

クリックジャッキングはConfused deputy problem（コンピュータのもつ権限を悪用させられる問題）の一種と捉えることができる^[7]。

実例

• Flashを利用し、Webカメラやマイクを作動させる
• ソーシャル・ネットワーキング・サービスのプロフィールの公開設定を変更させる
• Twitterで誰かをフォローさせる^[8]
• Facebookでリンクをシェアさせる^[9][10]

2009年3月、はまちや2がはてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した^[11]。

対策

利用者側

Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない^[12][13]。

提供者側

クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、HTTPレスポンスヘッダーにX-FRAME-OPTIONSを含めることで、そのウェブページを他のサイトのページのiframeに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。

脚注

1. Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
2. Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
3. Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
4. Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。
5. Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
6. You don't know (click)jack Robert Lemos, October 2008
7. The Confused Deputy rides again!, Tyler Close, October 2008
8. Daniel Sandler (12 February 2009). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。
9. Krzysztof Kotowicz (21 December 2009). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。
10. BBC (3 June 2010). “Facebook "clickjacking" spreads across site”. BBC News. http://news.bbc.co.uk/2/hi/technology/10224434.stm 2010年6月3日閲覧。
11. Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。
12. Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。
13. “NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。

関連項目

• クロスサイトスクリプティング
• フィッシング (詐欺)
• ブラウザセキュリティ

外部リンク

• 安全なウェブサイトの作り方 - 1.9 クリックジャッキング：IPA 独立行政法人 情報処理推進機構
• IPA テクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの「クリックジャッキング」に関するレポート (PDF) - 情報処理推進機構
• クリックジャッキング対策済みサイトは一部のみ、IPAが解説レポートを公開- インプレス
• X-FRAME-OPTIONS によるクリックジャッキング対策 - JPCERT/CC
• 「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か - ITmedia
• クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告 - ZDNet
• 正体が見えた「クリックジャッキング」 - 日経ITpro
• UI Redressing: Attacks and Countermeasures Revisited^{[リンク切れ]} Marcus Niemietz, Ruhr University Bochum（Germany）
• ClickJacking Links collected by Steve Gibson of GRC.com