クリックジャッキング

クリックジャッキングは、攻撃者が透明または偽装したフレームを正規のWebページの上に重ね合わせ、ユーザーが見えているボタンやリンクをクリックしたつもりが、実際には別のサイトの操作ボタンを押してしまう、という錯覚を利用したWeb攻撃です。「クリック（click）」と「ジャッキング（hijacking、乗っ取り）」を組み合わせた造語で、UIリドレッシング攻撃とも呼ばれます。

攻撃の典型例は次のとおりです。①SNSの「いいね」ボタンや「友達追加」ボタンを透明化し、無関係なボタンに重ねることで、ユーザーが気付かないうちに意図しない投稿や友達申請を実行させる。②ネットバンキングの送金ボタンを偽装し、正規サイトにログイン中のユーザーをクリック誘導することで不正送金を行う。③Webカメラやマイクの利用許可ダイアログを透明化して、許可ボタンを誤クリックさせる。

Webサイト運営者側の主要な対策は次の3つです。①レスポンスヘッダー「X-Frame-Options」に「DENY」または「SAMEORIGIN」を指定し、外部サイトからの iframe 埋め込みを禁止する。②Content Security Policy（CSP）の「frame-ancestors」ディレクティブで埋め込み元を厳格に制限する。③重要な操作には再認証や確認ダイアログを挟み、ワンクリックで決済や送金が完了しない設計にする。利用者側の対策としては、ブラウザを最新版に保ち、不審なリンクをクリックしない、銀行などの重要操作は別タブで明示的にアクセスする、といった基本が有効です。