クリックジャッキングの恐怖
Posted on | 2009年 3月 5日 | Permalink
クリックジャッキングとは外見上は無害に見えるウェブページをクリックしている間にウェブ利用者をだまして秘密情報を露呈させる、あるいはウェブ利用者のコンピュータの支配を獲得する悪意の技術である 。各種のウェブブラウザとプラットホームに渡る脆弱さであるクリックジャッキングは例えば他の機能を実行する為のボタンをクリックするように埋め込まれたコードあるいはスクリプトの形態をしているため利用者に気付かれることなく実行され得る。
クリックジャッキングと呼ばれる悪のネット技術があるそうです。その名の通り、ユーザーのクリック操作を乗っ取ってしまうというもの。いかにも無害なサイトを装い、ユーザーが何の気なしにしたクリックを利用して意図しない操作へ誘導してしまうという恐ろしいものです。
どういうことかと言いますと、不正に誘導されたユーザーが、意図しない操作、例えばショッピングカートの操作とかサービスの退会とか、勝手にさせられちゃうわけです。他にもいろいろあるでしょう。
クリックジャッキングについてこちらのサイトが詳しく説明しています。
INTERNET Watch:主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは
で、実際にクリックジャッキングを体験させてくれるサイトを作ってる人もいます。
クリックジャッキングってこうですか?わかりません
実際にサイトへ行って体験してもらえれば良いかと思いますが、こちらのサイトに限っては直接危害を及ぼされるわけではないけれど、やはりドキッとします。下の方に仕組みが分かるボタンもありますので参考までにどうぞ。いやあああ、クリックジャッキングこわい。
ブラウザのJavaScriptを切っても対策にはならないようです。今のところ、ほとんどすべてのブラウザで被害を被る可能性があるらしいですが、IE8にはクリックジャッキング対策になる機能が搭載されているらしいですし、Firefoxであれば、アドオンのNoScriptにクリックジャッキング対策の機能があるとのこと。クリックジャッキングが行われそうなサイト自体でもなんらかの対策が講じられるべきかも知れませんね。
追記:
クリックジャッキング対策になるブックマークレットを作られた方がいました。以下のページにあるスクリプトをブックマークとして登録しておき、クリックジャッキングなページでポチッとすると、潜んでいる罠を消しちゃってくれます。早速試してみましたがなかなか良いかもです。怪しいページでは一度ポチっとくといいかもしれません。
404 Blog Not Found:Javascript – クリックジャック殺しなbookmarklet
関連する(かもしれない)記事
コメント
コメントをする