クリックジャッキングClickjacking / UI Redress Attack
クリックジャッキングは、透明iframeで標的サイトを重ね利用者の意図と異なる操作 (送金・SNS投稿等) をクリックさせる攻撃です。対策は X-Frame-Options と CSP frame-ancestors です。
詳細解説
クリックジャッキング (UI Redressing) は、攻撃者サイトが標的サイトを透明な iframe で重ね、見えないボタンを利用者がクリックすることで、本人意図とは異なる操作 (SNSいいね・送金・パスワード変更) を実行させる攻撃です。Twitter・Facebook 等の事例も報告されています。対策はOWASPに従い (1) HTTPレスポンスヘッダー X-Frame-Options: DENY または SAMEORIGIN を設定 (2) より新しい CSP の frame-ancestors 'none' / 'self' を併用 (3) アプリ側でJSによるフレームバスター (top != self ならリダイレクト) は補助手段として が標準です。frame-ancestors は CSP Level 2 で導入され、X-Frame-Options より柔軟 (複数オリジン許可可能) で推奨されています。
実装例 / 使い方
- 01X-Frame-Options: DENY で全 iframe 埋め込みを拒否
- 02Content-Security-Policy: frame-ancestors 'self' で同一オリジンのみ許可
- 03管理画面に DENY、公開ページに SAMEORIGIN を使い分け
関連する用語
CSP
Content Security PolicyCSP (Content Security Policy) は、ブラウザに読み込み許可するスクリプト・スタイル・画像等の出所をホワイトリストで指定するセキュリテ...
XSS
Cross-Site ScriptingXSS (Cross-Site Scripting) は、悪意あるスクリプトをWebページに埋め込み他ユーザーのブラウザで実行させる攻撃で、Reflected・...
CSRF
Cross-Site Request ForgeryCSRF (Cross-Site Request Forgery) は、ログイン中のユーザーのCookieを悪用し意図しない操作を実行させる攻撃で、対策にはCS...
OWASP Top 10
Open Web Application Security Project Top 10OWASP Top 10 は、Webアプリケーションの最重要セキュリティリスクを4年ごとに集計するOWASPの代表的ドキュメントで、業界標準のチェックリストとし...
クリックジャッキングを、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信