攻撃と脅威
クリックジャッキング
別称: UI 詐欺攻撃
定義
攻撃者ページ内に対象ページを覆い被せたり隠したりして、ユーザーが見ているものとは別の要素をクリックさせる UI 詐欺攻撃。
クリックジャッキングは、アカウント設定・OAuth 同意・決済確認などの機微なページを iframe で悪意あるサイトに埋め込み、透明化や精密な CSS オーバーレイ、囮ボタンの下への配置などで視覚的に偽装します。ユーザーは可視ページを操作しているつもりでも、クリック・タップ・ドラッグは隠された iframe に伝わり、認証済みセッションで実際の操作が行われます。亜種にはカーソルジャッキング、ドラッグアンドドロップ型、ダブルクリックジャッキングなどがあります。防御は対象ページ側で行います:X-Frame-Options、推奨は CSP の frame-ancestors、機微な操作で明示的なユーザー確認を要求、そして SameSite クッキーでクロスコンテキストの状態共有を制限することです。
例
- 「ここをクリックで当選」と表示しつつ、ボタン上にソーシャルネットワークの権限付与ダイアログを指す透明 iframe を被せる。
- ピクセル単位で重ねたオーバーレイにより、攻撃者アプリの OAuth 同意画面で「承認」を押させる。
関連用語
タブナビング
背景タブや新たに開いたタブが密かに信頼されたログインページを装い、戻ってきたユーザーに再度認証情報を入力させようとする攻撃。
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
クロスサイトリクエストフォージェリ(CSRF)
認証済みユーザーのブラウザに、脆弱なサイトへ意図しないリクエストを送らせ、本人の同意なく状態変更操作を実行させる Web 攻撃。
Open Redirect
Open Redirect — definition coming soon.
Content Security Policy (CSP)
Content Security Policy (CSP) — definition coming soon.
SameSite Cookie
SameSite Cookie — definition coming soon.