この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

クリックジャッキング攻撃とその対策

エンドポイントセキュリティ 2013/06/28

 「クリックジャッキング攻撃」というのはご存じでしょうか?名前の通り、ユーザのマウスクリックを乗っ取る(ジャックする)攻撃です。クリックジャッキングは目新しい攻撃ではありませんが、最近、「IPA独立行政法人 情報処理推進機構」から詳細なレポートが公表されましたので、挙動と対策について、解説したいと思います。

クリックジャッキングの攻撃手法

 具体的には、悪意のあるハッカーが、悪意WebサイトAを作成したとします。「悪意サイトA」は実際にユーザが見ているサイトです。そのWebサイトに“iframe”というHTMLタグを使い、他の「サイトB」をかぶせます。図の場合スーパーの掲示板などです。但し、単純にかぶせるだけではなく、ユーザの目に見えないように透過処理を行います。このためユーザは、「サイトB」の存在を全く理解することはできません。「サイトB」ではあらかじめパラメータで「毒入りドッグフード」などの文言を、悪意あるハッカーは挿入しています。さらに、「サイトA」の会員登録ボタンと、「サイトB」の投稿ボタンを重ねておきます。ユーザはハワイ旅行のために会員登録ボタンを押したつもりになるのですが、実は実際に押しているのは、毒入りドッグフードの脅迫文の投稿ボタンとなるのです。

クリックジャッキングの攻撃手法

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

クリックジャッキングの攻撃手法

[X-Frame-Options] によりiframeでサイト読み込みを判断

 この攻撃に利用されないサイト、つまり、勝手に他人にiframeで読み込まれる「サイトB」のようなサイトを防ぐには、[X-Frame-Options]をHTTPレスポンスヘッダに入れておくのが最も有効です。この値として、deny(受け入れない)、sameorigin(同じドメイン)などを指定します。
 X-Frame-Optionsの情報を読み取ったブラウザが、iframeでサイトを読み込むか最終的に制御します. 仮に、「サイトB」(b.com)は、X-Frame-Options: sameoriginの設定を行っている場合、ブラウザがこれを判断し、「サイトA」から「サイトB」をiframeで読み込むことはできなくなります。

[X-Frame-Option] により、異なるドメインのサイトを阻止

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

[X-Frame-Option] により、異なるドメインのサイトを阻止

X-Frame-Optionsをレスポンスヘッダに入れるには?

では、X-Frame-Optionsをレスポンスヘッダに入れるにはどうすればいいでしょうか?おすすめできる選択肢は以下の2つです。

1. Apache、IISで挿入するように設定する

…コストはゼロで始められますが、設定が面倒です。

2. Barracuda Web Application Firewall などのWAF製品で挿入する

…指定ドメインなど含めGUIで簡単操作のため気軽に対策ができます(未対応の製品もあるので要注意)。

Barracuda Web Application Firewallのクリックジャッキングプロテクションの設定画面

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Barracuda Web Application Firewallのクリックジャッキングプロテクションの設定画面

X-Frame-Optionsヘッダを挿入することによって、被害に遭う可能性を低減させることはできますので、是非皆様もご検討ください。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006410


IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > クリックジャッキング攻撃とその対策

このページの先頭へ

キーマンズネットとは
2008年バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・自治体を中心にネットワークセキュリティ・アプリケーションデリバリ・データ保護ソリューションを提案。2013年よりプロダクトマーケティングマネージャーに着任し、ソーシャルメディアマーケティングを担当。

ページトップへ