情報セキュリティマネジメント試験 用語辞典
【Click Jacking】
具体的には、次のような手順で攻撃を成立させる。
- ユーザがサイトAにログインしている状態で、悪意あるページを閲覧する
- 悪意あるページは、サイトAのページをiframe要素などによって自身のページコンテンツとして取り込む
- 悪意あるページは、CSSプロパティなどの設定でサイトAを透明表示にする
- 悪意あるページは、サイトA画面上の不正操作させたい箇所へのクリックを誘導するページを表示する
- 悪意あるページは、透明状態のサイトAを"3"のページの前面に配置する
- この状態でユーザが誘導にそってクリックをすると、意図せずに前面にあるサイトA上の操作を実行してしまう
- 分野:
- 情報セキュリティ » サイバー攻撃手法
- 出題歴:
- 28年春期問22
- 重要度:
(Wikipedia クリックジャッキングより)
クリックジャッキング(クリックジャック攻撃、Clickjacking、User Interface redress attack、UI redress attack、UI redressing)は、ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがある。様々なウェブブラウザやプラットフォームに共通するセキュリティ上の問題といえる。
なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである。
概要
攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。
このとき、「真正な」ページ(たとえばソーシャル・ネットワーキング・サービスの公式サイト)を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。
クリックジャッキングはConfused deputy problem(コンピュータのもつ権限を悪用させられる問題)の一種と捉えることができる。
実例
- Flashを利用し、Webカメラやマイクを作動させる
- ソーシャル・ネットワーキング・サービスのプロフィールの公開設定を変更させる
- Twitterで誰かをフォローさせる
- Facebookでリンクをシェアさせる
2009年3月、はまちや2がはてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した。
対策
利用者側
Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない。
提供者側
クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、に
X-FRAME-OPTIONSを含めることで、そのウェブページを他のサイトのページのiframeに呼び出さないようにウェブブラウザに指示することができる。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。
出題例
- Webアプリケーションの脆弱性を悪用し,Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって,利用者のブラウザのキャッシュを偽造する。
- WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し,WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
- Webブラウザのタブ表示機能を利用し,Webブラウザの非活性なタブの中身を,利用者が気づかないうちに偽ログインページに書き換えて,それを操作させる。
- 利用者のWebブラウザの設定を変更することによって,利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
正解
- 総当たり攻撃
- 辞書攻撃
- パスワードリスト攻撃
- レインボーテーブル
- サイドチャネル攻撃
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- クリックジャッキング
- ドライブバイダウンロード
- SQLインジェクション
- ディレクトリトラバーサル
- ディレクトリリスティング
- OSコマンドインジェクション
- 中間者攻撃
- MITB攻撃
- 第三者中継
- DNSキャッシュポイズニング
- DNS水責め攻撃
- IPスプーフィング
- セッションハイジャック
- セッションID固定化攻撃
- リプレイ攻撃
- DoS攻撃
- DDoS攻撃
- EDoS攻撃
- メールボム
- 標的型攻撃
- APT
- 水飲み場型攻撃
- フィッシング
- ワンクリック詐欺
- スミッシング
- ゼロデイ攻撃
- テンペスト攻撃
- ポートスキャン
- ダウングレード攻撃
- フットプリンティング
- SEOポイズニング
- 情報セキュリティの考え方(10)
- 情報セキュリティの重要性(2)
- 脅威(23)
- 脆弱性(2)
- 不正のメカニズム(1)
- 攻撃者の種類(3)
- 攻撃の動機(1)
- サイバー攻撃手法(38)
- 暗号技術(11)
- 認証技術(5)
- 利用者認証(8)
- 生体認証技術(3)
- 公開鍵基盤(6)
このページのWikipediaよりの記事は、ウィキペディアの「クリックジャッキング」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。