[サイバー攻撃大辞典 トップへ]

クリックジャッキング(click jacking)


スポンサー リンク

説明


・主にframeやiframeを悪用する。Webページに視覚的な細工を行い、正規のURLに見せかけて悪意のリンクをクリックさせる。


攻撃例


Webメール画面の上に偽のページを表示させ、メール転送のボタンを他のリンクに偽装し意図しないメール転送を行う。


対策


・サーバ側では、X-FRAME-OPTIONS を指定する。(外部Webサーバあるいは同一Webサーバよりframeまたはiframeとして表示されることを制限)
また、X-Frame-OptionsSAMEORIGIN を指定すると、同じWebサーバ内に限り表示を許可することが可能。
・ブラウザ側では不審なサイトは表示しない、不審なメールのリンクはクリックしないなど基本的な対策が必要。


関連記事
知らぬ間にプライバシー情報を公開設定に変更されてしまうなどの被害を受ける「クリックジャッキング」に関するIPAのレポート。
http://www.ipa.go.jp/about/technicalwatch/20130326.html

スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917