クリックジャッキングとダブルクリックジャッキングの紹介と解説
ウェブサイトを訪問した人が被害を受けるサイバー攻撃はいくつかあり、今回紹介するクリックジャッキンやダブルクリックジャッキングもそのひとつです。クリックジャッキングやダブルクリックジャッキングは、ウェブサイトを訪問した人に対して、SNSのフォローやウェブカメラの起動、マルウェアのインストールなど、本人の意図しないアクションを起こさせる攻撃手法です。本コラムでは、クリックジャッキンとダブルクリックジャッキングの仕組みや起こりうる被害と対策について解説します。
目次
クリックジャッキングとは
クリックジャッキングとは、一見すると悪意のないウェブサイト上に、隠蔽されたリンクやボタンを配置することで、ユーザーを視覚的に欺き意図しないクリックを誘発するサイバー攻撃です。
悪意のあるリンクやボタンを透明な状態で通常のウェブサイトに重ねて表示して、ユーザーが気づかないうちに、攻撃者が仕掛けたボタンをクリックさせる攻撃手法です。
クリックジャッキングの仕組み
クリックジャッキングはHTMLのタグである「iframe(インラインフレーム)」を使って悪意のあるウェブサイト上に別のサイトを透明な状態で重畳表示します。「iframe(インラインフレーム)」は、設置するとそのウェブページ内に別のページを埋め込み表示することができるタグで、本来は、ウェブページ上にSNSや外部のECサイトの商品情報を表示するために使われたりすることがあります。
クリックジャッキングは、ユーザーがウェブサイトAにログインした状態で、悪意のあるウェブサイトBにアクセスし、ウェブサイトB上に透明な形で重畳表示されたウェブサイトAをクリックしてしまうと、ウェブサイトA上で設定変更などでユーザーの意図しないアクションを起こしてしまいます。
クリックジャッキングで起こり得る被害
クリックジャッキングにより、攻撃者はサイト訪問者に対して意図しない操作をさせることが可能です。この攻撃方法によって、訪問者は様々な被害を被る危険性があり、具体的には以下のようなことがあげられます。
- 意図しない商品購入や送金
- 意図しないSNSでのフォローや投稿
- ウェブカメラやマイクの起動
- マルウェアのインストール
- 意図しない設定変更によるアカウントの乗っ取り
- 個人情報の漏洩
クリックジャッキングの対策
クリックジャッキングを防ぐ方法には、閲覧するユーザー側の対策とサイト運営者側の両方に対策があります。
閲覧するユーザー側の対策
クリックジャッキング対策は基本的にサイト運営者側の対策が主ですが、ユーザー側も以下の対策を行うことで、被害をある程度回避することができます。
- ブラウザ設定でのサードパーティのクッキーのブロック
- ブラウザ設定でのJavaScriptの無効化
- ブラウザのバージョンを常に最新のものへアップデート
上記対策でも、完全には防ぐことはできないため、信用できないサイトでは、むやみにクリックしないことがユーザー側に求められる重要な対策となります。
サイト運営者側の対策
サイト運営者側は、自身のサイトがクリックジャッキングの攻撃対象にならなように、以下の対策を講じることが重要になります。
- X-Frame-Optionsの導入
- Content Security Policyの導入
サイト運営者がウェブサイトのHTTPレスポンスヘッダに「X-Frame-Options」を導入することで、運営するウェブページ内に外部から埋め込まれた他のウェブページを表示させるか否かを指定することができます。特に「X-Frame-Options」に「sameorigin」を設定すると、同じサイトからの読み込みのみが有効となり、外部からの「iframe(インラインフレーム)」等のページ呼び出し機能をブロックすることができます。
また、HTTPレスポンスヘッダに「Content Security Policy」の「frame-ancestors」を導入することで「X-Frame-Options」と同様に、外部からの「iframe(インラインフレーム)」等のページ呼び出し機能を制限やアクセス元のページを制限など、より細かな設定を行うことができます。
ダブルクリックジャッキング
2025年2月現在、クリックジャッキングを発展させ、さらに手の込んだ形とした、ダブルクリックジャッキングと呼ばれる新しい攻撃手法が発見され、話題となっています。
ダブルクリックジャッキングとは、ユーザーのダブルクリック操作を悪用する攻撃手法で、従来の「X-Frame-Options」による対策を回避すると言われています。
ダブルクリックジャッキングの仕組み
ダブルクリックジャッキングはダブルクリックのタイミングの隙をつく攻撃です。攻撃の流れとしては以下のようになっています。
- ユーザーが悪意のあるサイトにアクセスすると、ブラウザで新しいウインドウが自動的に開かれます。
- この新しいウインドウは、通常のCAPTCHA認証を装ったような偽の認証画面で、ユーザーにダブルクリックを促すようなインターフェースになっています。
- 同時に、元の悪意のあるサイトはOAuth認証リクエストなどを用いてターゲットとなるサイトに密かにリダイレクトされます。
- 偽の認証画面でダブルクリックすると、一度目のクリックで認証画面が閉じられ、二度目のクリックで、ユーザーはターゲットとなるサイトで設定変更など意図しない操作を行ってしまいます。
ダブルクリックジャッキングで起こり得る被害
ダブルクリックジャッキングによってサイト訪問者は以下のような被害を被る危険性があります。
- 不正なログインやパスワードの漏洩
- 意図しないSNSでのフォローや投稿
- 意図しないアカウント設定の変更
- クレジットカード情報や銀行口座の情報の不正利用
ダブルクリックジャッキングの対策
サイト運営者側は、自身のサイトがダブルクリックジャッキングの攻撃対象にならなように、以下の対策を講じることが重要になります。
- Double-Click-Protection: strictの導入
- Content Security Policyの導入
HTTPレスポンスヘッダに「Double-Click-Protection: strict」という特殊なヘッダを実装することで、ダブルクリックの検知と防御を有効化でき、ダブルクリックのシーケンスを利用した攻撃の制限を行うことができます。また、クリックジャッキングと同様に、「Content Security Policy」の「frame-ancestors」を導入する方法も有効です。
注意が必要なウェブサイトの特徴
マウス操作のみで機能や設定などが操作可能なウェブサイトは、クリックジャッキングやダブルクリックジャッキングによる影響を受ける可能性があります。特に、そのマウス操作で利用者に関連する情報の公開範囲の変更などが可能な場合、攻撃による影響が深刻になるため、特別な配慮が必要です。
まとめ
本コラムでは、クリックジャッキングおよびダブルクリックジャッキングの手法について紹介・解説いたしました。クリックジャッキングおよびダブルクリックジャッキングはそれぞれ悪意のあるサイトを用いて、ユーザーが意図しないアクションを誘導する攻撃です。攻撃を受けると、マルウェアのインストールや個人情報の漏えいにつながるため注意が必要です。
IPAによると、クリックジャッキング自体の被害件数はウェブサイトの届出全体に占める割合は、1パーセント未満と多くはありません。ですが、クリックジャッキングをより巧妙化したダブルクリックジャッキングのような新しい攻撃手法が出現してきているため、覚えておいても損はないでしょう。
