企業が警戒すべきサイバー攻撃のひとつに、クリックジャッキングがあります。クリックジャッキングに遭うと、企業は大きな損失を被る恐れがあるので注意が必要です。この記事ではクリックジャッキング攻撃がどのような手口で行われているかを説明し、具体的な対策方法を取り上げます。ぜひこの記事を読んで、企業のWebセキュリティ強化に役立ててください。
クリックジャッキングとは
クリックジャッキング(Clickjacking)とは、Webサイト利用者を視覚的にだまして、意図しない操作をさせるサイバー攻撃手法のひとつです。ユーザーは通常のリンクやボタンをクリックしているつもりでも、実際にはリンクやボタンの上に透明なレイヤーや偽装されたインターフェースが重ねられていて、アタッカーが仕掛けた別の操作に誘導されます。
クリックジャッキング攻撃の仕組み
クリックジャッキング攻撃は、Webページに巧妙に仕掛けられています。
アタッカーは、本来のWebページ(被害サイト)の上に、透明化された別のページを重ねます。ユーザーが正規のWebページを訪れても、罠サイトの表示は見えないので危険の存在に気づけません。しかし、実際には透明なページにはアタッカーが意図するボタンやリンクが配置されていて、ユーザーが正規のボタンと思い込んでクリックすると、別の操作に誘導されてしまうという仕組みです。
アタッカーは企業のWebページを利用することもあれば、無害に見える「罠サイト」を自分で作ることもあります。どちらの場合にも、透明のページやボタン、リンクが重ねられていて、悪意のあるサイトや不適切なアクションに誘導されてしまいます。
クリックジャッキング攻撃によって発生する影響
クリックジャッキング攻撃によって起こり得る影響を4つ紹介します。
・SNSで意図しない「いいね」やフォローが行われる
クリックジャッキング攻撃により、ユーザーが意図せず「いいね」やフォローを行ってしまう被害がよく報告されています。この手口では、FacebookやX(旧Twitter)といったSNSの正規の「いいね」ボタンやフォローボタンの上に、別の透明化されたボタンが配置されています。ユーザーはいつも通りのボタンをクリックしたつもりでも、実際には透明化された別のボタンを押してしまう仕組みです。
クリックジャッキングによりSNSが乗っ取られてしまい、勝手に悪意のあるURLを掲載した投稿をされ、それが拡散されて被害が広がることもあります。
・マルウェアをダウンロードされる
クリックジャッキング攻撃は、ユーザーに意図せずマルウェアをダウンロードさせる手口としても利用されています。
悪意のあるマルウェアは、個人情報やクレジットカード情報の窃取、企業秘密の漏えいなど深刻な被害を引き起こす恐れがあるため注意が必要です。特に企業は、この種の攻撃が大規模なデータ漏えいや業務停止につながる場合があるので気をつけましょう。
・Webカメラやマイクを乗っ取られる
クリックジャッキングは、Webカメラやマイクといったデバイスの乗っ取りにも悪用されます。
アタッカーは、悪意あるページ上にAdobe Flash Playerなど特定のプラグインの設定画面を透明化された状態で重ねています。ユーザーが何か別の操作だと思い込んでそこをクリックすると、その背後でWebカメラやマイクへのアクセス許可が与えられる仕組みです。
Webカメラやマイクが乗っ取られると、ユーザーの意図に反してカメラやマイクが起動し、自宅内の様子が盗撮されたり、ミーティング中の発言内容が録音されたりする恐れがあります。
・意図せず商品の購入・不正送金をさせられる
クリックジャッキングによって最も深刻な被害となり得るもののひとつが、不正送金や意図しない商品の購入への誘導です。
この手口では、「購入する」ボタンや「送金する」ボタンが透明化されていて、その背後に悪意ある操作フィールドが配置されています。この仕掛けにより、ユーザーは気づかない間に高額商品の購入手続きを完了したり、不正送金を実行したりしてしまいます。
クリックジャッキング攻撃の対策方法
クリックジャッキング攻撃からの被害を避けるために講じるべき対策を解説します。
・ブラウザでJavaScriptやFlashを無効にする
クリックジャッキング攻撃の一部は、JavaScriptやFlashといった技術を利用して実行されるため、これらを無効化することで防御できます。ほとんどのブラウザでは、設定メニューから簡単に無効化が可能です。
ただし、クリックジャッキングはCSSやHTMLのみで実行されることもあるため、この対策をしただけでは完全に防御できたとはいえません。他のセキュリティ対策と併用して実施するようにしましょう。
・ブラウザやOSのセキュリティアップデートを実施する
クリックジャッキング攻撃は、ブラウザやOSの脆弱性を悪用して行われることがあるため、常にブラウザやOSを最新バージョンにアップデートをしておくことが大切です。
Google ChromeやMozilla Firefoxなどの主要ブラウザでは、自動更新機能が搭載されているため、この機能を有効にしておくと便利です。OSについても同様に、自動更新機能を活用して新しいセキュリティパッチが適用されるよう設定しておきましょう。
・セキュリティ対策ツールを導入する
セキュリティ対策ツールは、不正なプログラムや挙動を検知して警告を発する機能を備えています。これらはクリックジャッキングに限らず、多種多様なサイバー攻撃からシステム全体を保護するのに有効です。
企業のWebセキュリティ対策におすすめなのが、「Cloudbric WAF+」です。企業のWebセキュリティ確保に必須とされる以下の5つのサービスを、ひとつのプラットフォームで利用できます。
- WAFサービス:Web攻撃の遮断
- DDoS攻撃対策サービス:最大40GbpsのDDoS攻撃に対応可能
- SSL証明書サービス:SSL証明書の無料提供・自動発行
- 脅威IP遮断サービス:脅威IPとして定義されたIPの遮断
- 悪性ボット遮断サービス:スパイウェアやスパムボットなどの遮断
・X-FRAME-OPTIONSを設置する
クリックジャッキング攻撃に対処するには、Webサイト管理者側の対策も重要です。最も効果的な対策として挙げられるのが、外部サイトの表示を制限する「X-FRAME-OPTIONS」ヘッダーの設定です。
「X-FRAME-OPTIONS」には、「DENY」・「SAMEORIGIN」・「ALLOW-FROM」という3つの設定値があります。「DENY」は、全てのページでフレーム表示を禁止する設定です。「SAMEORIGIN」は、同一オリジン内でのみフレーム表示を許可します。「ALLOW-FROM」は、特定オリジンからのみフレーム表示を許可する設定です。
「X-FRAME-OPTIONS」は簡単に実装できるうえ、高い防御効果があるため、多くの企業サイトで採用されています。
まとめ
Webブラウザを悪用したクリックジャッキングにより、情報流出やデータ破壊などの深刻な被害が及ぶことがあります。企業は、セキュリティアップデートをこまめに実施したりセキュリティ対策ツールを導入したりして、Webセキュリティ確保に努めましょう。