IT用語集 2024/12/24

クリックジャッキングとは？ 10分でわかりやすく解説

Q: X-Frame-Options で何を制御できますか？

自ページが他サイトの frame や iframe に埋め込まれることを制御できます。一般的には DENY か SAMEORIGIN を使います。

Q: frame-ancestors と X-Frame-Options の違いは何ですか？

frame-ancestors は CSP の一部で、許可する埋め込み元を柔軟に指定できます。X-Frame-Options は設定が単純で、補助的に併用しやすいヘッダーです。

Q: 業務システムへの影響はありますか？

社内ポータルなどから iframe で読んでいる画面は表示できなくなる場合があります。導入前に埋め込み要件を棚卸しします。

コラム

UnsplashのAxvilleが撮影した写真

クリックジャッキングは、見えているボタンやリンクとは別の要素を背後に重ね、利用者のクリックを意図しない操作へ向けるサイバー攻撃です。主な対策は、ページを第三者サイトのフレームへ埋め込ませないことです。実務では、Content-Security-Policy の frame-ancestors を軸にし、X-Frame-Options を併用し、重要操作では再認証や確認画面も組み合わせる設計が通りやすくなります。

クリックジャッキングとは

クリックジャッキングは、利用者が押しているつもりのUIと、実際に反応するUIをずらして配置し、意図しない操作を実行させる手口です。OWASPでは UI redress attack とも説明されています。攻撃者は、自分が用意したページの上に透明または見えにくい iframe などを重ね、背後にある正規サイトのボタンを押させます。

どう成立するのか

攻撃者が誘導用のページを作る
そのページに、正規サイトの画面を iframe などで重ねる
見えている誘導用のボタンと、背後の重要ボタンの位置を合わせる
利用者がクリックすると、実際には背後の操作が実行される

利用者は通常どおり操作しているつもりでも、実際には設定変更、送信、権限付与など別の処理が進みます。攻撃対象になりやすいのは、ログイン後にワンクリックで状態が変わる画面です。

どのような被害が起こるか

設定変更	プロフィール公開範囲、通知先、外部連携、権限設定などが本人の意図と異なる内容へ変わることがあります。
不正操作	送金、購入、承認、削除など、重要操作の実行につながる場合があります。
情報被害	情報漏えいや不正アクセスの起点になることがあります。特に管理画面や決済画面では影響が大きくなります。

なお、IDやパスワードの窃取は、純粋なクリックジャッキングだけでなく、偽画面への誘導や関連するUI偽装と組み合わさって起きることが多くあります。クリックジャッキングの本質は、利用者の権限で意図しない操作を実行させる点にあります。

なぜ危険なのか

クリックジャッキングが厄介なのは、利用者の操作そのものを悪用するためです。サーバーから見ると正規のブラウザ操作に見えやすく、単純な不正通信検知だけでは拾いにくい場面があります。管理画面、決済画面、アカウント設定画面のように、ログイン済み状態で重要な変更ができるページほど影響が大きくなります。

また、Cookie でセッション維持しているサービスでは、利用者がログイン済みのまま別サイトを閲覧していると、攻撃が成立しやすくなる場合があります。このため、フレーム制御だけでなく、セッションと重要操作の設計も一緒に見直したほうが安全です。

クリックジャッキング対策

`frame-ancestors` を優先する

現在の主軸は、Content-Security-Policy の frame-ancestors です。どのオリジンから自ページを埋め込めるかを明示できるため、第三者サイトからの埋め込みを止めやすくなります。外部埋め込みが不要なページなら、埋め込み自体を許可しない方針が明快です。

frame-ancestors 'none' とすれば全面禁止、'self' とすれば同一オリジンだけ許可、必要な埋め込み先がある場合は許可先を個別に並べます。重要画面と一般画面で方針を分ける設計も取りやすくなります。

`X-Frame-Options` を併用する

X-Frame-Options は古くからあるフレーム制御ヘッダーです。現在は frame-ancestors のほうが柔軟ですが、DENY または SAMEORIGIN を併用しておくと、互換性の面で扱いやすい場面があります。新規設計では CSP を先に決め、その補助として X-Frame-Options を残す考え方が無難です。

フレームバスティングは補助策として使う

JavaScript でフレーム内表示を検知し、トップ画面へ追い出すフレームバスティングは、補助策としては使えます。ただし、サーバー側のヘッダー制御ほど安定しません。JavaScript無効化や回避手法もあり得るため、これ単独で閉じる設計は避けたほうが安全です。

重要操作には再確認を入れる

クリック一発で送金、削除、権限変更が終わる画面は狙われやすくなります。重要操作では、確認ダイアログ、再認証、ワンタイム確認、多要素認証の再要求などを組み合わせたほうが被害を抑えやすくなります。クリックジャッキング対策は埋め込み防止だけで終わらせず、操作そのものの安全性まで見たほうが実務では効きます。

SameSite 属性も防御層に入れる

OWASPは防御の一つとして、セッション Cookie に SameSite 属性を設定する考え方も挙げています。これにより、第三者サイトからのフレーム読み込み時に Cookie が送られにくくなり、ログイン済み状態を悪用されるリスクを下げやすくなります。ただし、SameSite だけでクリックジャッキングを防ぐことはできません。フレーム制御と組み合わせて使う前提です。

導入時に確認したい点

自社サイトのどのページが外部または社内ポータルから埋め込まれているか
ログイン、決済、設定変更、管理画面でフレーム埋め込みが本当に必要か
業務要件上、許可が必要なオリジンがあるか
ヘッダー導入後に既存の業務画面やSPAが崩れないか
重要操作で追加確認や再認証を入れる余地があるか

特に、社内ポータルやダッシュボードから業務システムを iframe で読んでいる場合は、ヘッダー導入後に表示できなくなることがあります。まず棚卸しし、必要な埋め込み先だけを許可する形へ整理したほうが後戻りしにくくなります。

まとめ

クリックジャッキングは、利用者のクリックを別の操作へ向ける攻撃です。対策の中心は、ページを第三者サイトへ埋め込ませないことにあります。実装の優先順位は、Content-Security-Policy: frame-ancestors、X-Frame-Options、重要操作の再確認、SameSite 属性の順で考えると整理しやすくなります。

注意すべき点は、ヘッダーを入れれば終わりではないことです。どの画面が埋め込み対象か、どの操作が危険か、業務上の例外をどう扱うかまで詰めないと、設定が形だけで終わります。ログイン、決済、設定変更、管理画面から優先して見直したほうが実効性を出しやすくなります。