Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

意図しないクリック操作を許す「クリックジャッキング」 - 対策済サイトは5.3%

00000000_im_001.jpg

情報処理推進機構(IPA)は、ユーザーに本来意図しないクリック操作を行わせる攻撃「クリックジャッキング」の対策が進んでいないとして、ウェブ運営者を対象とした技術レポートを公開した。

同攻撃は、悪意あるページで閲覧したユーザーに画面上をクリックさせることにより、その背後でまったく関係ない別のページをクリックさせる攻撃。

SNSサイトを例にすると、同攻撃により、画面表示ではSNSサイトとはまったく関係ないページを表示しつつ、その画面上のクリック操作をSNSサイトへのクリック操作にすり替えることが可能となる。

そのため、ユーザーに気が付かれないようSNSサイトのプライバシー設定を「非公開」から「公開」に変更したり、「投稿」「退会」ボタンをクリックさせるなど、意図しない操作が行われるおそれがある。

こうした攻撃は、ブラウザ側と不正操作の対象となるウェブサイト側の双方で対策を講じることにより防止することが可能。しかしながら、主要ブラウザにおいて対策が進む一方で、ウェブサイト側では対策が進んでいないという。

同攻撃には、ウェブページにおいて「X-FRAME-OPTIONSヘッダ」を利用することが有効な対策のひとつとされているが、同機構が狙われやすい会員制のウェブサイト56件を対象に調査を行ったところ、対策を実施していたサイトは3サイトのみにとどまった。

同機構ではこうした問題へ対応するため、攻撃のしくみや対策について取りまとめた技術レポートを用意。ウェブサイトの構築や運営に関わる技術者向けに提供している。

(Security NEXT - 2013/03/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
NICT、東京五輪向けサイバー演習「サイバーコロッセオ」展開 - 約220人のセキュリティ人材を育成
PwCサイバーサービス、IoT機器の脆弱性検査に特化したラボを開設
セキュリティ対策の注意喚起メールが実はマルウェアメール - 実在するアナウンスを盗用
減少傾向続いたフィッシング攻撃、増加に転じる
悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
「Apache Struts 2」の「RESTプラグイン」に脆弱性 - DoS攻撃受けるおそれ