クリックジャッキング（Clickjacking）攻撃とは、「クリック（Click）」と「ハイジャック（Hijacking）」を掛け合わせた「クリック操作を乗っ取る」という意味の造語で、ユーザーに気付かれないように、攻撃者の意図するマウスやキーボードの操作を強要する危険なサイバー攻撃です。

攻撃者は、透明なリンクやボタンを用意して巧妙に擬態し、ユーザーが無意識にクリックするよう誘発します。ユーザーが意図しないアクションを実行することで、次のような不正操作によるさまざまな被害を引き起こします。

クリックジャッキング攻撃がどのような仕組みで実行されるか、詳しく見てみましょう。

クリックジャッキング攻撃では、ユーザーが透明で見えないiframe内のリンクやボタンを意図せずクリックしてしまうことで、さまざまな被害を引き起こします。

攻撃者は、ユーザーがアクセスしている攻撃対象のWebサイトに透明なiframeを重ねて、ユーザーがクリックを意図したリンクやボタンではなく、iframe内のリンクやボタンがクリックされるような仕組みにします。ユーザーがクリックすると、iframe内に埋め込まれた別のWebサイトにアクセスしたり、アクションを実行したりするというのが、クリックジャッキング攻撃の手口です。

クリックジャッキング攻撃が成立するためには、次の条件が必要です。これらの条件が満たされることでクリックジャッキング攻撃が成立し、攻撃者は、ユーザーに意図しない操作を強要することで、攻撃の目的を達成します。

クリックジャッキング攻撃を受けると、Webサイトを閲覧しただけで、さまざまな深刻な被害に見舞われる可能性があり、個人や企業に重大な影響を及ぼします。

クリックジャッキング攻撃では、ユーザーが透明のiframe内のリンクやボタンをクリックしてしまうことで、意図していない悪意のあるWebサイトへ誘導されます。これにより攻撃者は、広告収入を得たり、ユーザーの行動を追跡したりすることができます。

例えば、ユーザーが見ているWebサイトの「クリックして無料でゲット」というボタンに透明のiframeを重ね、iframe内に「広告をクリック」というボタンを配置します。ユーザーがボタンをクリックすると、iframe内のボタンがクリックされ、攻撃者は広告収入を得ることができます。

クリックジャッキングの攻撃者は、ユーザーに透明のiframe内のリンクやボタンをクリックさせることで、ユーザーや管理者の権限を不正に変更し、システムを操作できるようになります。

例えば、ユーザーが見ているWebサイトの「クリックして無料でゲット」というボタンに透明のiframeを重ね、iframe内に「管理者権限を付与」というボタンを配置します。ユーザーがボタンをクリックすると、iframe内のボタンがクリックされ、攻撃者は管理者権限を取得することができます。

クリックジャッキングの攻撃を受けると、ユーザーはiframeをクリックすることにより、オンラインバンキングやショッピングサイトで、意図しない送金や商品の購入を行ってしまうことがあります。これにより攻撃者は、ユーザーの資金を不正に取得、利用することができ、金銭的な被害を発生させます。

例えば、ユーザーが見ているWebサイトの「クリックして無料でゲット」というボタンに透明のiframeを重ね、iframe内に「100万円を送金」というボタンを配置します。ユーザーがボタンをクリックすると、iframe内のボタンがクリックされ、攻撃者は不正に100万円を送金させることができます。

クリックジャッキング攻撃によりユーザーがiframe内の要素をクリックすると、マルウェアをダウンロードさせます。これにより閲覧者のデバイスがマルウェアに感染し、個人情報の窃取や企業システムの不正な操作につながります。

例えば、ユーザーが見ているWebサイトの「クリックして無料でゲット」というボタンに透明のiframeを重ね、iframe内に「マルウェアをダウンロード」というボタンを配置します。ユーザーがボタンをクリックすると、iframe内のボタンがクリックされ、攻撃者は不正にマルウェアをダウンロードさせ、実行させることができます。

クリックジャッキング攻撃では、ユーザーが透明のiframe内のリンクやボタンをクリックすることで、攻撃者がユーザーのログイン情報を盗み取り、アカウントを乗っ取る危険があります。

例えば、ユーザーが見ているWebサイトの「クリックして無料でゲット」というボタンに透明のiframeを重ね、iframe内に「ログイン」というボタンを配置します。ユーザーがボタンをクリックすると、iframe内のボタンがクリックされ、攻撃者は、不正にユーザーのログイン情報を窃取し、設定を変更したり、個人情報を流出させたりすることができます。

クリックジャッキング攻撃を受け、ユーザーがiframeをクリックすることにより、X、Instagram、FacebookなどのSNSアカウントが乗っ取られ、意図しない投稿や「いいね」を強要されたり、行動を追跡されたり、フォロワーの攻撃に利用されたりすることがあります。

例えば、ユーザーが見ているWebサイトの「クリックして無料でゲット」というボタンに透明のiframeを重ね、iframe内に「ログイン」というボタンを配置します。ユーザーがボタンをクリックすると、iframe内のボタンがクリックされ、攻撃者は不正にユーザーのSNSアカウント情報を取得し、SNS上で不正な活動を行うことができます。

クリックジャッキングの攻撃者は、ユーザーが透明の要素をクリックすることで、ユーザーのWebカメラやマイクを遠隔操作で不正に作動させることができます。これにより、ユーザーのプライバシーを侵害する恐れがあります。

例えば、ユーザーが見ているWebサイトの「クリックして無料でゲット」というボタンに透明のiframeを重ね、iframe内に「Webカメラを起動」というボタンを配置します。ユーザーがボタンをクリックすると、iframe内のボタンがクリックされ、攻撃者は不正にユーザーのWebカメラを起動し、ユーザーの生活を盗み見たり、流出させたりすることができます。

クリックジャッキング攻撃では、社会的影響力の大きいWebサイトやSNSサービスが狙われることもあります。実際にどのような影響を及ぼすか、被害事例を見てみましょう。

クリックジャッキング攻撃が、アフィリエイト広告で行われる場合、攻撃者はiframe内に透明の広告を用意します。ユーザーはiframeをクリックすることで、意図せずアフェリエイト広告のリンクをクリックしてしまいます。これにより攻撃者は、不正にアフェリエイト報酬を得ることができます。

クリックジャッキング攻撃が、Facebook上で行われる場合、攻撃者は、ユーザーのログイン情報を窃取して、公開設定を変更することにより個人情報を流出させたり、意図しない相手に友達申請をさせたり、ユーザーに透明の「いいね」ボタンを押させて、ユーザーの友達にリンクを拡散させたりできます。

クリックジャッキング攻撃が、X（旧Twitter）上で行われる場合、攻撃者は、ユーザーのログイン情報を窃取して乗っ取り、意図しない投稿をさせたり、意図しないリポストにより攻撃者が作成した悪意のあるリンクを拡散させたり、ユーザーに透明の「いいね」ボタンを押させたりすることができます。

クリックジャッキング攻撃は、ユーザーが気付かないうちに、攻撃者の意図する不正な操作を行わせ、さまざまな被害を発生させる攻撃手法です。クリックジャッキング攻撃から身を守るために、クリックジャッキングの仕組みを理解し、次のような対策を徹底しましょう。適切な対策を講じることで、被害のリスクや拡大を大幅に下げることができます。

ウイルス対策ソフトを導入することで、クリックジャッキング攻撃の被害を最小限に抑えることができます。ウイルス対策ソフトは、不審なWebサイトへのアクセスを遮断したり、マルウェアの検知や駆除をしたりすることができます。また、ユーザーの操作を監視して、不正な操作を検知することもできます。

定期的にウイルススキャンを実行すること、定期的にアップデートを行い、常に最新の状態に保つことがとても重要です。

ログインやパスワード変更、オンラインバンキングの送金や振り込みなど、重要な処理の操作を複雑化することで、クリックジャッキング攻撃を防御することができます。ただし、操作の複雑化はユーザビリティを低下させる可能性があるため、バランスが大切です。

重要処理の操作を複雑化する仕組みとして、パスワードの入力を求める、二段階認証を導入する、処理の完了を通知するなどがあります。

クリックジャッキング攻撃を仕掛ける攻撃者は、不正なコードを実行するためにJavaScriptやFlashを悪用することが多くあります。これらの技術を必要最小限の使用に留めるか、無効化することで、攻撃の手口を阻止することができます。

ただし、Java ScriptやFlashを無効化すると、Webサイトの機能が制限される可能性があるため、バランスが大切です。使用する場合は必要最小限に留め、脆弱性のある古いバージョンを使用しないことが重要です。

OS、ブラウザやプラグインなどのソフトウェアの古いバージョンには、セキュリティ上の脆弱性が存在することがあり、攻撃の対象になりやすくなります。定期的にセキュリティパッチやアップデートを適用して、常時最新の状態に保つことで、クリックジャッキング攻撃のリスクを減らすことができます。

また、最新のアップデートには、新しい機能や改善点も含まれていることが多いため、最新の状態に保つことで、Webサイトの機能を最大限に活用することもできます。

Webサイトやアプリケーションの脆弱性検査を定期的に実施して、検出された場合は速やかに修正を行うことで、クリックジャッキングの攻撃者に悪用される可能性を最小限に抑えることができます。

脆弱性検査では、不正なコードの挿入や、不適切な権限設定、セッション管理の不備、入力値の不正チェック、機密情報の漏洩などを検出することができます。

X-Frame-Optionsを設定し制限範囲を変えることで、クリックジャッキングの攻撃を防御することができます。X-Frame-Options は、Webサイトがiframeの中で表示されるのを防ぐためのHTTPレスポンスヘッダーです。これにより、攻撃者が外部ドメインからiframeを使い、透明の要素を埋め込んでユーザーを騙すことを防ぐことができます。

X-Frame-Optionsには、次のような設定値があります。ただし、X-Frame-Optionsを設置することで、Webサイトの機能が制限される可能性があるため、適切な設定値を選択することが重要です。

クリックジャッキング攻撃は、ユーザーに気付かれずに不正な操作を強要する悪質な手口です。この攻撃では、ユーザーがWebサイトを閲覧中に、透明で見えないiframe内の不正なリンクやボタンをクリックさせられてしまいます。その結果、ユーザーの意図しない、悪意のあるWebサイトへのアクセス、権限の変更、送金や商品購入、マルウェアのダウンロードなどの深刻な被害が引き起こされます。

クリックジャッキング攻撃への対策としては、ウイルス対策ソフトの導入や重要な処理の操作の複雑化、Java ScriptやFlashの利用制限や無効化、OSやソフトウェアの定期的な最新化、WebサイトやWebアプリケーションの定期的な脆弱性検査、X-Frame-Optionsの設置などが挙げられます。加えて、攻撃者の手口が日々進化していることを念頭に置き、継続的に対策を強化することが不可欠です。ユーザートレーニングの実施や、最新のセキュリティ情報の入手、専門家によるコンサルティングの活用なども有効な手段となり得ます。

特に、重要な個人情報や機密情報を取り扱う企業や組織は、攻撃を受けた場合の被害や社会的影響が大きいため、ユーザーの安全を確保し、信頼を得るためにも、クリックジャッキング攻撃のような巧妙な手口に対して、適切な防御策を施す必要があります。必要に応じて専門家と連携することも視野に入れることが大切です。定期的なリスク分析や、セキュリティ監査の実施、インシデント対応の事前準備なども重要な取り組みと言えるでしょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。