クリックジャッキング対策サイトの現状と仕組み

  • 元記事:IPA テクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート
  • HP:情報処理推進機構
  • 発表日時 2013/3/26

    情報処理推進機構(IPA)が2008年に脅威が周知されたクリックジャッキングに関し、ウェブサイトを抽出して対策が浸透しているか調査を行った結果、56サイト中53サイトが未対策であったことを受け、同機構はクリックジャッキングの仕組みや対策をまとめた。

    クリックジャッキング攻撃とは、通常のウェブページコンテンツを表示して画面上をクリックさせ、その背後で実際には別のウェブコンテンツをクリックさせる攻撃のことで、これによりユーザが気づかないうちにSNSサイなどの非公開設定情報が公開設定に変更されるなど意図しない操作が行われて情報漏洩の一因となる。

    クリックジャッキング攻撃対策はログイン機能などユーザ情報の登録、変更、投稿などができるサイトにおいて実施すべきもので、主な対策方法としてrame要素またはiframe要素でウェブページを表示させることを許可するか否かを指定することができる仕組みのX-FRAME-OPTIONS、クリックジャッキング攻撃だけでなくクロスサイト・スクリプティングや盗聴による情報漏えい被害を軽減する仕組みのContent Security Policy、window.topプロパティにより表示されるウェブページの最上位の位置を取得し、window.selfプロパティにより
    JavaScriptが記載されているウェブページの位置を取得するJavaScriptのWindowオブジェクトを使用した対策がある。