クリックジャッキング

情報セキュリティ > 脆弱性・攻撃手法 > アクションスプーフィング > クリックジャッキング

クリックジャッキング（クリックジャック攻撃、Clickjacking、User Interface redress attack、UI redress attack、UI redressing）は、ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である^[1]^[2]^[3]。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがある。様々なウェブブラウザやプラットフォームに共通するセキュリティ上の問題といえる^[4]^[5]。

なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである^[6]。

概要

攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。

このとき、「真正な」ページ（たとえばソーシャル・ネットワーキング・サービスの公式サイト）を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。

クリックジャッキングはConfused deputy problem（コンピュータのもつ権限を悪用させられる問題）の一種と捉えることができる^[7]。

実例

Flashを利用し、Webカメラやマイクを作動させる
ソーシャル・ネットワーキング・サービスのプロフィールの公開設定を変更させる
Twitterで誰かをフォローさせる^[8]
Facebookでリンクをシェアさせる^[9]^[10]

2009年3月、はまちや2がはてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した^[11]。

対策

利用者側

Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない^[12]^[13]。

提供者側

クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、HTTPレスポンスヘッダーにX-FRAME-OPTIONSを含めることで、そのウェブページを他のサイトのページのiframeに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。

脚注

^ Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
^ Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
^ Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
^ Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。
^ Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
^ You don't know (click)jack Robert Lemos, October 2008
^ The Confused Deputy rides again!, Tyler Close, October 2008
^ Daniel Sandler (12 February 2009). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。
^ Krzysztof Kotowicz (21 December 2009). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。
^ BBC (3 June 2010). “Facebook "clickjacking" spreads across site”. BBC News 2010年6月3日閲覧。
^ Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。
^ Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。
^ “NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。

外部リンク

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[1] Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。

[2] Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。

[3] Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。

[4] Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。

[5] Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。

[6] You don't know (click)jack Robert Lemos, October 2008

[7] The Confused Deputy rides again!, Tyler Close, October 2008

[8] Daniel Sandler (12 February 2009). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。

[9] Krzysztof Kotowicz (21 December 2009). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。

[10] BBC (3 June 2010). “Facebook "clickjacking" spreads across site”. BBC News 2010年6月3日閲覧。

[11] Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。

[12] Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。

[13] “NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

表話編歴脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語版）
インジェクション攻撃 (CWE-74)	クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) HTTPヘッダ・インジェクション HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134)
スプーフィング攻撃	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語版） Eメールスプーフィング（英語版）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語版） TCPシーケンス番号予測攻撃クッキーモンスター攻撃（英語版）
DoS攻撃	Land攻撃クリアチャネル評価攻撃（英語版）
サイドチャネル攻撃	コールドブート攻撃（英語版） Meltdown Spectre Lazy FP state restore（英語版） TLBleed（英語版）
不適切な入力確認 (CWE-20)	バッファオーバーフロー (CWE-119、120、121等) Return-to-libc攻撃ディレクトリトラバーサル (CWE-22)
未分類	中間者攻撃 (CAPEC-94) MITB攻撃 MOTS攻撃（英語版） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）ダングリングポインタ（英語版） DNSリバインディング in-sessionフィッシング（英語版）クッキースタッフィング（英語版）悪魔の双子攻撃 IDNホモグラフ攻撃スナーフィング（英語版） JITスプレーイング（英語版）リプレイ攻撃誕生日攻撃 CRIME KRACK Intel ME（英語版）の脆弱性
対策	OP25B Content Security Policy（英語版）コンテントスニッフィング（英語版） HTTP Strict Transport Security (HSTS) ファイアウォール侵入防止システム (IPS) 侵入検知システム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連項目	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語版） OWASP（英語版） w3af（英語版）隠れ通信路（英語版）

概要

実例

対策

利用者側

提供者側

脚注

関連項目

外部リンク