クリックジャッキングとは?　被害例、対策方法を詳しく解説

近年、Webサイトを狙った悪質な攻撃が増えています。特に「クリックジャッキング」という手口は、Webサイト上のリンクやボタンを透明にしてユーザーをだまし、悪意のあるサイトのボタンをクリックさせる悪質な手口です。クリックすると、ウイルス感染やPCの乗っ取りなど大きな被害を受ける可能性が高くなります。
今回は、とある企業のIT部門に所属するセキュリティに精通した中山部長（44歳）と新人セキュリティ担当の石塚さん（24歳）の会話から、クリックジャッキングの概要や被害例、対策方法について学びましょう。

1. クリックジャッキングとは

クリックジャッキングとはWebブラウザを悪用した手口のこと

「クリックジャッキング」とは、ユーザーが利用するWebブラウザのページを悪用したサイバー攻撃の一種です。

罠となるページの上に「iframe(インラインフレーム)」と呼ばれる透明なページを上に重ね合わせることで、悪意のあるサイトを見えなくしてユーザーにクリックさせる手法です。実際にクリックしてしまうと、ウイルス感染やPCの乗っ取り、自宅にあるカメラやマイクを勝手に起動させられるなどの被害を受けてしまいます。

クリックジャッキングの罠ページの仕組みとしては、通常のWebページの上に悪意のあるページを透明化させて重ね合わせる方法と、通常のWebページの方を透明化させて悪意のあるページを見えるようにしておく方法があります。
どちらのページも、指定箇所をクリックするように誘導する構造・仕組みになっているため、ユーザーにとって厄介なサイバー攻撃の一つと認識されています。

罠ページの仕組み
出典：「安全なウェブサイトの作り方 - 1.9 クリックジャッキング」（IPA）

2. クリックジャッキングによる被害の例

被害例1：悪意のあるサイトをクリックしてデータ破壊や情報流出の被害にあう

クリックジャッキングでは、悪意のあるサイトを見えない状態にしてクリックを促します。クリックしたボタン自体がウイルス感染を引き起こすダウンロードボタンになっているケースもあります。

その結果、自身のPCの内部データを破壊されたり、保存していた個人情報を流出されたりと、さまざまな被害を受けてしまいます。

被害例2：SNSの乗っ取り

自身のSNSを乗っ取られてしまい、SNS上で勝手に投稿されたり、特定のアカウントをフォローさせられたりするなどの被害例があります。

たとえば、ユーザーのTwitterを乗っ取って悪意のあるURLなどを含んだツイートを発信し、ユーザーのフォロワーがそのURLをクリックしてウイルス感染などの二次被害にあう、といった事例もあります。

図1-4：ユーザー乗っ取り後の二次被害のイメージ図
出典：「今月の呼びかけ」（IPA）

被害例3：勝手に商品の購入、送金をされてしまう

自分が意図していない商品を勝手に購入させられることもあります。PCを乗っ取られて気付かないうちに大量の商品や高額な商品を購入させられ、多額の請求書が届いてはじめて被害に気付くというケースです。

ほかにもネットショップのギフト券を送付させられたり、インターネットバンキング上で不正に送金を行われたりなど、クリックジャッキングの被害にあうと金銭面で大きなダメージを負う可能性が高くなります。

3. クリックジャッキングを防ぐための対策

クリックジャッキングによる被害を未然に防ぐためにはどのような対策を行えばよいのでしょうか。対策方法について解説します。

対策1：ブラウザでJavaScript、Flashを無効にする

ブラウザで閲覧するユーザー向けの対策として、ブラウザでJavaScriptやFlashなどを無効にする方法が挙げられます。ほとんどのブラウザで無効に設定することが可能で、不正なWebページを表示させるためのコードが機能しなくなります。

対策2: 重要な処理の操作を複雑化させる

重要な操作を行う際に単純な操作で完結できないようにしておくことも一つの手です。クリックジャッキングはユーザーに特定の操作を促しますが、複雑な操作を行わせることは難しいといえます。
重要な操作に関してはキーボード操作をプロセスに盛り込むなど、マウスでの簡単な操作のみで処理されないようにしておくことで、攻撃の成功率を下げることができるでしょう。

対策3：ブラウザやOSのセキュリティアップデート

ブラウザやOSのセキュリティアップデートを適宜行うことも有効な対策となります。クリックジャッキングはセキュリティの脆弱性を突いて攻撃を行います。セキュリティの隙を作らないように、常にブラウザやOSを最新バージョンにアップデートしておきましょう。

対策4：X-Frame-Optionsを設定する

ユーザーの設定や操作でクリックジャッキングの攻撃を完全に防ぐことは難しいため、「X-Frame-Options」も設定しておきましょう。
X-Frame-Optionsとは外部サイトの表示制限を行うHTTPレスポンスヘッダのことで、Webページ内に埋め込まれた外部サイトを表示させるかどうかを指定できます。

X-Frame-Optionsは以下のような設定値があります。

・DENY
すべてのWebページに対して、フレーム内の表示を禁止する。

・SAMEORIGIN
同じサイト内のWebページのみ、フレーム内の表示を許可する。

・ALLOW-FROM origin
指定したサイトのWebページのみ、フレーム内の表示を許可する。

たとえばHTTPのレスポンスヘッダに「X-Frame-Options: DENY」のように出力することで、iframe要素によるページ読み込みを制限できます。

これらを設定することで悪意のあるページを除外することが可能になります。ただし、複数のドメインを使い分けているWebページの場合は設定が複雑になってしまうため注意が必要です。

4. まとめ

クリックジャッキングは、ユーザーが利用するWebブラウザを悪用した手口です。悪意のあるサイトをクリックしてしまうと、そこからデータ破壊や情報流出などの被害を受ける可能性が高まります。
対策としては、ブラウザの「設定」からJavaScript、Adobe Flashを無効化すること、X-Frame-Optionsでの設定などが有効です。ブラウザやOSのセキュリティアップデートも適宜行い、被害を未然に防ぎましょう。