クリックジャッキングとは?攻撃の手口や被害事例、効果的な対策を解説
- 普段利用している商品のサポートページの問い合わせボタンをクリックしたら、なぜかログインIDとパスワードを入力する画面に移りました。これって入力しても問題ないのでしょうか?
- いいえ、入力してはいけません。これは「クリックジャッキング」といって、サイト訪問者を騙して意図しない操作をするように誘導するサイバー攻撃の一種かもしれませんよ。
クリックジャッキングは、WEBサイト上に偽装したリンクやボタンを設置し、訪問者を視覚的に騙して誘導する攻撃手法です。
攻撃者は、別の機能を実行するボタンに見せかけ、埋め込まれたコードを訪問者に気付かれないように実行します。
そして騙されてクリックした利用者の個人情報を盗む、という悪質なサイバー攻撃です。
目に見えない悪質なボタンを設置させないためには、WEBサイト開発者の対策が必要不可欠。
そこで今回は、クリックジャッキングの攻撃の手口や被害事例、効果的な対策を解説します。
クリックジャッキングとは?
クリックジャッキングとは、WEBサイト上に偽装したリンクやボタンを設置し、知らずにクリックした利用者に意図しない動作をさせる攻撃です。
具体的な特徴としては、ボタンやリンクなどを透明化し、WEBページの通常のボタンの上にかぶせるというもの。
近頃はパソコンだけでなくスマホやタブレットでも被害が出ており、インターネットに繋がる全ての端末で警戒が必要です。
クリックジャッキング攻撃の仕組み
では次に、クリックジャッキングはどのような仕組みで行われるのでしょうか?
サイバー犯罪者はまず、「①利用者の目に留まり思わずクリックしたくなるサイト」と「②利用者にとって意図しない動きをさせる透明のボタン」の2つを作成します。
そうして、以下のような手順で訪問者の個人情報を盗み取ります。
- 1.サイバー犯罪者が①のサイト上に、透明化した②を重ね合わせて公開
- 2.サイトを訪れた利用者が、気になって①のサイトをクリック
- 3.利用者は①のサイトをクリックしたはずが、②のボタンをクリック
- 4.②のボタンは利用者の情報を公開することを許可
- 5.利用者の個人情報がサイバー犯罪者の手に渡る
クリックジャッキングで想定される被害
クリックジャッキングにより、以下の被害に遭う可能性があります。
- ✔ 意図せず商品を購入
- ✔ SNSで勝手にフォロー
- ✔ サイバー犯罪者の攻撃の踏み台
- ✔ ウイルスに感染
- よくあるケースでは、アフィリエイト広告をクリックさせるための手口として使われます。またSNSで見知らぬ人からメッセージが来るのも、クリックジャッキングで知らぬ間にフォローしたことが原因です。
クリックジャッキングの被害事例
続いて、クリックジャッキングの実際の被害事例を2つご紹介します。
事例①意図しないFacebookの「いいね!」ボタン
Facebookで自己啓発に関する面白いWEBサイトを閲覧し、続きを読もうと「次へ」をクリックしました。
すると翌日になって自身のFacebookページに、怪しい自己啓発の発信者から身に覚えのない広告が次々と入るように。
実は「次へ」のボタンの上に、Facebookの「いいね!」ボタンが隠されていたというわけです。
事例②クリックジャッキングを利用したアフィリエイト広告
開発元は不明でしたが、使い勝手が良さそうで口コミも複数あり、安心して画像編集のフリーソフトをダウンロードしました。
ダウンロード完了後、「ウイルスを検知しました」とポップアップが表示され、慌てて「駆除する場合はここをクリック!」のボタンを押下。
その後マウスのカーソルが動かなくな、り意図しない画面も表示されるなど、パソコンの挙動がおかしくなりました。
「駆除する場合はここをクリック!」のボタンの上に、ウイルスを動かすボタンが隠されていたというわけです。
クリックジャッキングに効果的な対策4選
次に、クリックジャッキングに遭わないための効果的な対策をご紹介します。
他サイトで紹介される対策の中に「Flashの無効化」や「Javascriptの無効化」がありますが、この機能を無効化すると多くのサイトが見られなくなる可能性があるため、おすすめしません。
対策①OSやソフトウェアのバージョンの最新化
クリックジャッキングは、「脆弱性」のあるWEBサイトに透明化されたボタンやリンクを仕掛け、訪問者の意図しない操作を促します。
そのため、Google ChromeなどのブラウザやWindowsなどのOSは、常に脆弱性が修正された最新バージョンに更新しましょう。
- 脆弱性には深刻な影響を及ぼすものもあり、放置していると悪意のある攻撃によって被害を受ける可能性が高く大変危険です。よって脆弱性の修正パッチが提供されたら、必ずアップデートしてください。
対策②ウイルス対策ソフトの導入
クリックジャッキング対策として、「ウイルス対策ソフト」を導入するのもおすすめです。
また企業で利用するのであれば、フリー(無料)ソフトではなく、高性能・高機能でサポート体制も安心の有料ソフトを導入しましょう。
- ウイルス対策ソフトは怪しい挙動を見つけたり、不正なプログラムを検知すると警告してくれます。クリックジャッキングはもちろん、あらゆるサイバー攻撃によるリスクも軽減できますよ。
対策③X-FRAME-OPTIONSの設置
WEBサイトの管理者ができる最も効果的な対策として、「X-FRAME-OPTIONS」の導入があります。
「X-FRAME-OPTIONS」とは、運営するWEBサイト内に外部から埋め込まれた他のWEBサイトを表示・非表示を指定できるパラメータ。
導入することで、外部からのiframe、embebなどの不正なページ呼び出しをブラウザでブロックすることが可能です。
またX-FRAME-OPTIONSは、主に以下のWEBサイト・ページに設置することをおすすめします。
- マイページで個人情報の「公開・非公開」が選べるサイト
- 利用者が投稿できるサイト(SNS、掲示板など)
- 利用者が退会するためのページ
クリックジャッキングを防ぐセキュリティ対策商品をご紹介
人の手で作られる限り、脆弱性のない完璧なWEBサイトはないといっても過言ではありません。
そこで脆弱性を突いた攻撃を防ぐために有効なのが、「セキュリティ対策商品」の導入。
サイバー攻撃による被害を自動で食い止めてくれるので、利用しない手はありません。
では次に、クリックジャッキング対策におすすめのセキュリティ商品を厳選してご紹介します。
高い検出力と軽快な動作で人気No.1のウイルス対策ソフト「ESET」
セキュリティの基本は、ウイルス対策ソフトから。
導入するウイルス対策ソフトでお悩みなら、断然「ESET」がおすすめです。
ESETは高い検出力を誇り、既存ウイルスはもちろん新種のウイルスも高確率で検出可能。
さらに低負荷設計によりPCなどの使用端末に影響もなく、スキャン中の作業も軽快なので、業務に支障が出ることもありません。
「ESET」の特徴
- 不正なプログラムを検知し警告
- パソコンの踏み台や不正アクセスをしっかり防止
- 新発見のウイルスでも即座にブロック
- アカウントのログイン情報を一元管理し漏洩させない
セキュリティ機能を一元化した最高峰システム「Cyber Box Pro」
現代では、サイバー攻撃の脅威はクリックジャッキングだけではなく、あらゆる攻撃が企業を脅かしています。
そういった全ての攻撃から企業を守るためには、総合的なセキュリティ対策が必要不可欠です。
そこでおすすめするのが、中小企業に必要なセキュリティ機能をパッケージ化した最高峰システム「Cyber Box Pro」です。
セキュリティソフトを一つひとつ入れると高額になりますが、Cyber Box Proはあらゆる機能をパッケージ化しながら月額9,800円~と安価に抑え、導入のしやすさも実現しています。
「CYBER BOX PRO」の特徴
- 1.タフで高機能、大容量のNAS
大容量7.3TBのBOX型オリジナルデスクトップサーバ。
SSD搭載で高速起動を実現、障害時の切り分けも簡単です。 - 2.リアルタイムバックアップで安心
ファイルやメールのデータ変化をリアルタイムに検知・バックアップ。
99世代までのデータを戻すことができます。 - 3.ファイル共有・アクセス権限の変更が可能
ファイルごとにアクセス権限を変更し、閲覧・編集が可能。
社内外からのデータのやり取りも安心かつ簡単です。 - 4.全ての機器のログ解析も
リアルタイムで、様々なログを手間なく確実に記録。
不正操作を防止し、原因の調査も簡単です。 - 5.セキュリティソフトでサイバー攻撃を防ぐ
PCウイルスや不正侵入などから、PCやサーバを防御。
未知の脅威に対しても効果を発揮します。 - 6.トラブル時にも安心の遠隔サポートも
トラブル時には、サポートチームが遠隔でサポート。
余計な手間もコストもかけず、簡単に問題を解決できます。
あらゆるサイバー攻撃の脅威から自社を守るためには、総合的なセキュリティ対策が必須です。
情報漏えいや不正アクセス、金銭被害などに遭う前に、「CYBER BOX PRO」を導入して企業のセキュリティ対策を徹底しましょう。
- さらにOFFICE110では、通常は10万円以上のセキュリティ診断を無料で実施しております!どんな対策が必要なのかお困りの方は、ぜひお気軽にOFFICE110へお問合せください。
まとめ
クリックジャッキングは、利用者が意図しない行動を知らない間に引き起こす、恐ろしい攻撃です。
利用者がクリックするであろう対象のボタンやリンクの上に、透明化された悪質なボタンを設置し、悪質なページに誘導します。
「知らない間に商品を買っていた」
「知らない間に個人情報を漏らしていた」
・・・そんな被害に遭わないためにも、セキュリティ商品を導入して対策を徹底しましょう。
最後に、「自社にはどのようなセキュリティ対策が必要か分からない」「何から対策を始めたら良いかわからない」そんな方は、ぜひお気軽に「OFFICE110」へご相談を。
専門知識豊富なスタッフが、セキュリティ診断から商品のご提供、導入、アフターサービスまで、トータルで徹底サポートいたします。