クリックジャッキングは、ユーザーがだまされて、目に見えない、または別の要素に見せかけた Web ページ要素をクリックさせる、欺瞞的なサイバー攻撃です。このタイプの攻撃により、ユーザーはマルウェアのダウンロード、悪意のある Web サイトへのアクセス、機密情報の開示、送金、意図しないオンライン購入などのアクションを誤って実行する可能性があります。
この攻撃では通常、インライン フレーム (iframe) を使用して、目に見えない Web ページまたは HTML 要素を目に見えるページの上に重ねることが行われます。ユーザーにとって、Web ページは正常に見えますが、実際には、ユーザーのクリックはこの非表示レイヤーにリダイレクトされます。その結果、ユーザーは実際には目に見えないレイヤーを操作しているにもかかわらず、表示されているページを操作していると思い込み、予期せぬ結果を招く可能性があります。
クリックジャッキングの一般的なシナリオの 1 つは、ユーザーが意図せず金融取引を承認する可能性がある、銀行サイトなどの正規の Web ページの操作です。攻撃者はユーザーのクリックを事実上乗っ取り、自分の利益のためにリダイレクトします。
クリックジャッキング攻撃にはさまざまな形式があります。
- ライクジャッキング: このバリエーションは、Facebook などのソーシャル メディア プラットフォームをターゲットとしています。これには、ユーザーが承認するつもりのなかったページやコンテンツを無意識のうちに「いいね」ボタンを操作することが含まれます。この手法により、悪意のあるコンテンツが拡散したり、ページの人気を不正につり上げたりする可能性があります。
- カーソルジャッキング: 別のバリエーションには、ユーザーのカーソル位置の変更が含まれます。攻撃者はカーソルの外観や位置を変更し、画面上の実際のクリック位置についてユーザーを誤解させます。この手法はこれまで、Web ブラウザや Flash などのプラグインの脆弱性を悪用しており、その多くにはその後パッチが適用されています。
クリックジャッキングから保護するために、さまざまな防御戦略を採用できます。これには、Web ページが iframe 内に表示されないようにするフレームバスティング スクリプトの実装や、ページをフレーム化する方法やフレーム化を制限できる X-Frame-Options HTTP ヘッダーなどのセキュリティ機能の利用が含まれます。ユーザーは、ブラウザとプラグインを常に最新の状態に保ち、あまり馴染みのない Web サイトでのクリックや操作に注意することで、保護を強化することもできます。クリックジャッキング戦術を理解し、認識することは、開発者とユーザーの両方にとって、これらの欺瞞的で潜在的に有害な攻撃から身を守るために重要です。
