前回は、クリックジャッキング攻撃の仕組みとその脅威について解説した。今回は、クリックジャッキング攻撃への対策を検討すべきウェブサイトと対策方法を解説する。
クリックジャッキング攻撃への対策が必要なウェブサイトとは
クリックジャッキング攻撃への対策を検討すべきウェブサイトは、以下の2つの項目が該当するウェブサイトである。- 登録制のウェブサイト(ログイン機能のあるウェブサイト)であること
- ウェブサイト上でユーザーの情報を追加・編集・投稿・削除できること
該当するウェブサイトの中でも対策を取るべきなのは以下の要素を持つページである。
- ユーザーの情報(特に公開・非公開)を設定するページ
- ユーザーが投稿するページ
- ユーザーが退会などを申告するページ
こういったウェブページに対するクリックジャッキング攻撃は、以下に示すような手順で仕掛けられる(図1)。ユーザーがするであろう4つの操作を説明しながら、攻撃の流れを説明してみよう。
ここでは、サイトAはクリックジャッキング攻撃への対策をしていないサイト、悪意あるウェブサーバーはユーザーに細工したウェブページを送信するサーバーとする。
図1●クリックジャッキング攻撃の流れの例
