（学習たれ流し）クリックジャッキング

概要

標的となるサイトに利用者がログインしている状態で、標的サイトを透過させた罠サイトを利用者に見せる。（罠サイトと標的サイトを重ねて表示するイメージ。）利用者は罠サイトを操作しているつもりが、透過された標的サイトを操作することにより、結果的に利用者の意図していない操作をしてしまう攻撃。
（マウス操作のみで使用可能なサイトにおいて発生）

発生しうる脅威

マウス操作のみで発生、という点以外はCSRF攻撃の脅威と同じ。

• ログイン後の利用者のみが利用可能なサービスの悪用：意図しない情報発信、退会処理など

• ログイン後の利用者のみが編集可能な設定の変更：意図しない公開範囲の変更など

注意が必要なウェブサイトの特徴

ログイン後利用者が利用可能な機能をマウス操作のみで実行可能なウェブサイト。

根本的解決

HTTPレスポンスヘッダにX-Frame-Optionsヘッダフィールドを出力し、他ドメインのサイトからのframe要素やiframe要素による読み込みを制御する。

「X-Frame-Options: DENY」のように出力することで、X-FrameOptions に対応したブラウザにおいて、frame 要素や iframe 要素によるページ読み込みの制限ができる。（クリックジャッキング攻撃防御用のヘッダ情報。）

X-Frame-Optionsで指定する設定値は以下の通り。

• DENY ：すべてのウェブページにおいてフレーム内の表示を禁止

• SAMEORIGIN ：同一オリジンのウェブページのみフレーム内の表示を許可

• ALLOW-FROM ：指定したオリジンのウェブページのみフレーム内の表示を許可

処理を実行する直前のページで再度パスワードの入力を求める

画面仕様の変更が必要なため、対策においては検討が必要。

保険的対策

重要な処理は、一連の操作をマウスのみで実行できないようにする

マウス操作のみで処理が実行されないように、キーボード操作などを挟むことで攻撃の成功率を下げることができる。