クリックジャッキングとは、ユーザーを視覚的に欺き、見えないボタンやリンクを重ねて表示することで、意図しない操作に誘導する攻撃手法です。
企業のWebサービスや社内システムでも被害が起きており、リスクを正しく理解し、具体的な対策を講じることが重要です。
本記事では、クリックジャッキングの仕組み、代表的な攻撃例、効果的な防止策を分かりやすく解説します。
目次
クリックジャッキングとは
クリックジャッキングとは、ユーザーが気づかないうちに意図しない操作をさせられるサイバー攻撃の一種です。
見た目は正しいWebページに見えても、実際には透明なボタンや偽装された画面が重ねられており、本来とは異なる動作が裏で実行されてしまう点に大きな特徴があります。
クリックジャッキングはなぜ危険なのか?
クリックジャッキングが危険視される理由は、利用者本人の意思でクリックをしているにもかかわらず、その行動の意味がすり替えられてしまうことにあります。
たとえば、画面上では「動画を再生」するボタンに見えていても、実際は「銀行口座から送金する」ボタンを押してしまうといったケースが起こりえます。
さらに、攻撃対象が個人にとどまらず、企業システムや業務用アカウントにまで広がる可能性があるため、被害が拡大した際の影響は非常に深刻です。
このように、一見するとただのクリックが、自分の意図に反して大きな被害につながる可能性があるため、クリックジャッキングは危険な攻撃といえます。
クリックジャッキングにおける攻撃のメカニズム
クリックジャッキングの手口は非常に巧妙で、表面的には通常のWebページに見えても、背後では別の処理が実行されるように仕組まれています。
ここでは、具体的にどのような流れや技術を使って攻撃が行われるのかを解説します。
クリックジャッキングを受ける流れ
クリックジャッキングの攻撃は、主に次のような手順で行われます。
- まず、攻撃者は自分の作成したページの中に、正規のWebサイトを表示させる仕組みを組み込みます。
- 次に、見た目には分からない透明なボタンや画像などの「隠れた操作エリア」を画面に重ねて設置します。
- その結果、ユーザーは画面に表示されているボタンをクリックしたつもりでも、実際にはその裏にある別の操作ボタンを押していることになります。
たとえば「動画再生ボタン」を押したつもりが、「設定変更」や「送金確定」を実行していた、という事態が起こるのです。
このように、Webサイトの見た目をうまく利用して、ユーザーに気づかれずに本来の操作をすり替えるのが、クリックジャッキングの基本的な仕組みです。
iframeや透明オーバーレイを使った偽装手法
クリックジャッキングの中でも特に多いのが、iframe(アイフレーム)と透明なオーバーレイを組み合わせた手法です。
iframeとは、あるWebページの中に別のWebページを表示できるHTMLの仕組みです。
ブログ記事の中にYouTubeの動画を埋め込むときなどに使われます。
そして、そのiframeの上に、見た目では確認できない透明なボタンや画像などをオーバーレイとして重ねていきます。
このとき活用されるのが、Webページの見た目を調整するためのCSSという技術です。
たとえば、opacityというプロパティを使えば、ある要素を完全に透明にできます。
また、z-indexというプロパティを使うと、どの要素を上に、どれを下に表示するかという「重なり順」をコントロールできます。
これにより、ユーザーが目にしているボタンと、実際にクリックが反応する場所とをずらすことが可能になるのです。
ソーシャルエンジニアリングとの組み合わせ
クリックジャッキングは単独でも脅威ですが、ソーシャルエンジニアリングと組み合わさることで、さらに巧妙かつ危険な攻撃になります。
ソーシャルエンジニアリングとは、人間の心理的な隙を突いて情報を盗み出す手法です。
これを利用して「キャンペーンに参加しよう」や「プレゼントが当たりました」といった興味を引く文言でクリックを誘導するケースがあります。
ユーザーの注意をそらせる内容や緊急性を装った演出を取り入れることで、早くクリックしないと損をするといった心理状態にし、意図しないボタンを押させるのが狙いです。
見た目は魅力的な案内でも、裏側では悪質な処理が進行していることがあり、これが企業サイトや金融サービスで行われた場合、その影響は非常に深刻になります。
このような人の心の隙を突く手法と技術的な偽装を組み合わせることで、攻撃の成功率を高める仕掛けになっています。
クリックジャッキングの主な攻撃手法の種類
クリックジャッキングには複数の種類があり、攻撃者はユーザーに気づかれないようにさまざまな方法で画面を偽装してきます。
ここでは代表的な6つの攻撃パターンを解説します。
完全な透明オーバーレイ
この攻撃は、正規のWebページを見せかけながら、実際には透明な画面(iframe)を上に重ねる手法です。
ユーザーが見ているのは本物のページですが、その上に重ねられた目に見えない操作画面がクリックを受け取ります。
つまり、見えている場所を押しているつもりでも、実際にはまったく別の操作がされているのです。
とてもシンプルな構造ですが、視覚的な違和感がなく気づきにくいため、非常に悪質な手法といえるでしょう。
非表示のオーバーレイ
非表示のオーバーレイは、iframeなどを極端に小さくしたり、カーソルの下に1×1ピクセルだけ配置するなど、視覚的にまったく見えないよう工夫された偽装です。
この小さな要素がユーザーのマウスに合わせて動くよう設定されている場合、どこをクリックしても背後の攻撃用ページが反応する仕掛けになっています。
クリックしても見た目には何も変化がなく、操作の違和感もないため、被害者は攻撃にあったことすら気づかないケースがほとんどです。
トリミング・リポジショニング
この攻撃は正規ページの一部だけを切り取って見せたり、表示位置をずらしたりして、本来の内容と異なる操作をさせる方法です。
ボタンの見た目は同じでも、実際には違うリンクや処理が動作するように細工されているケースがあります。
また、リンクの遷移先を勝手に書き換えたり、ボタンのラベルを別の言語に変えることでユーザーを混乱させることも目的の一つです。
見た目が正しいからといって安心できない点が、この手法の怖さです。
イベントドロップ・ドラッグアンドドロップ
この手法では、ユーザーがボタンやリンクをクリックしても、見た目では何も反応しないように装います。
実際には「CSSポインタイベントプロパティをなし」という設定により、表面のクリックが無効化されていて、その下にある攻撃用のページで処理が実行されています。
何度も押しても動かないように見える画面の下で、知らないうちに操作が行われているという仕組みです。
操作できないと感じたときは、単なる不具合ではなく、セキュリティの問題である可能性も疑いましょう。
コンテンツの迅速な置換・スクロール誘導
コンテンツの置換やスクロール誘導は、ユーザーの視覚や操作タイミングを狙ったクリックジャッキングの手口です。
置換では、ボタンを押す直前に内容が別のリンクに変わることで、意図しない操作をさせます。
スクロールでは一部が隠れたダイアログボックスを表示し、下の悪意あるボタンを誤って押させるよう設計されています。
見た目が自然なため非常に気づきにくく、注意が必要です。
クリックジャッキングで発生する被害
クリックジャッキングは、ユーザーが気づかないうちに別の操作をさせられるため、さまざまな深刻な被害につながるおそれがあります。
ここでは、代表的な5つの被害を解説します。
権限の変更・ログイン情報の盗み取り
ユーザーがクリックした操作の裏で、アカウントの管理権限が他者に渡ってしまうような設定が行われることがあります。
たとえば、管理者アカウントの追加や削除、アクセス権の付与といった操作が利用者の知らないうちに実行されるケースが存在するのです。
また、ログイン画面を偽装してIDやパスワードを入力させ、そのまま盗み取る手法も確認されています。
このような情報は第三者により不正利用され、アカウント乗っ取りや社内システムへの侵入につながる可能性があります。
勝手な送金・商品の購入
クリックしたつもりの操作が、実際には送金や商品の購入につながる処理だったというケースもあります。
表示上は確認や同意に見えるボタンが、内部では支払い処理や契約確定といった別の操作に紐づけられていることがあるので注意しましょう。
特に、あらかじめ支払い情報が登録されているサービスを利用している場合、実害がすぐに発生するおそれがあります。
気づいたときには既に取引が完了しており、返金対応が難しいことも少なくありません。
被害に気づくまで時間がかかることが多いため、日常的にオンライン決済を利用している方は警戒が必要です。
マルウェアのダウンロード
クリックジャッキングは、マルウェアと呼ばれる不正なプログラムのダウンロードにも悪用されます。
ユーザーが通常の操作をしたつもりでも、実際にはマルウェアのインストールファイルが実行されてしまうケースが少なくありません。
このようにして端末に侵入したマルウェアは、キーボード入力の監視、個人情報の盗み取り、遠隔操作などさまざまな被害を引き起こします。
一度感染してしまうと、自分でも気づかないうちに情報が外部に送信され続けることもあり、非常に深刻な状況になります。
セキュリティソフトを導入していても、完全に防げない場合があるため、注意が必要です。
SNSでの「いいね」やシェアの強制
SNSを利用しているアカウントで、意図しない「いいね」や「シェア」が実行されることもクリックジャッキングで発生する被害の1つです。
これは、クリック操作にSNS上の投稿アクションが割り当てられていることで発生します。
本人の知らない間に特定の投稿が拡散されていたり、スパムのような内容に賛同した形になっていたりする場合があります。
このような操作は、他者からの信頼やアカウントの信用性を損ないかねません。
複数のSNSを連携している場合、影響が広範囲に及ぶ可能性があります。
Webカメラやマイクの強制起動
クリックジャッキングにより、ユーザーが許可した覚えのないWebカメラやマイクの使用が有効化されてしまうことがあります。
操作画面上では一般的な確認のように見えても、裏では映像や音声へのアクセスが許可されていることがあるのです。
このような操作により、利用者の環境が外部から監視される状態になります。
個人の会話や室内の映像が漏れることで、プライバシーの侵害だけでなく、業務上の情報が流出する危険性もあります。
とくにカメラやマイクを使用するアプリケーションが増えている現在、対策を怠ると被害の範囲は拡大しやすくなるので注意しましょう。
クリックジャッキングの被害事例
クリックジャッキングは現実にさまざまな場面で発生しており、SNSや広告、業務システムなど多くの領域で被害が確認されています。
ここでは、実際に起きた3つの事例を紹介します。
事例①:Facebookの「いいね」ボタンの悪用
Facebookで話題の自己啓発サイトを閲覧していたユーザーが、「次へ」のボタンをクリックしたところ、翌日から自分のタイムラインに怪しい広告が大量に表示されるようになりました。
実はその「次へ」ボタンの上に、透明にされたFacebookの「いいね」ボタンが重ねられており、本人の知らないうちに不審な発信者の投稿を拡散してしまっていたのです。
このように、見えている操作と実際の処理が異なることで、SNS上で意図しない拡散が行われ、信頼性の低下やアカウントの悪用につながる可能性があります。
事例②:アフィリエイト広告への不正誘導
画像編集ソフトを探していたユーザーが、口コミ評価の高いフリーソフトをダウンロードしたところ、完了後に「ウイルスを検知しました」という警告が画面に表示されました。
驚いて「駆除する場合はここをクリック!」と表示されたボタンを押した瞬間、マウスの動作が不安定になり、意図しない画面が次々と開くなど、端末に異常が発生しました。
実際にはそのボタンの上に、ウイルスを起動する別のボタンが仕掛けられていたのです。
クリックジャッキングがマルウェア感染の入り口として使われるケースもあるので、十分な警戒が求められます。
事例③:社内SaaS利用環境への攻撃
企業の社内システムやSaaS(Software as a Service)を狙ったクリックジャッキング攻撃も増えています。
これらの攻撃では、管理者や従業員のアカウントを乗っ取ることが主な目的とされています。
ある企業では、社内システムの管理画面にアクセスするためのログインフォームがクリックジャッキング攻撃の対象となっていました。
攻撃者は従業員を偽のサイトに誘導し、「ログイン」ボタンを押したつもりで攻撃者のスクリプトを実行させることで、管理者アカウントの認証情報を盗み取りました。
業務用ツールにログインしたまま私用のサイトを開く習慣がある場合、こうした攻撃に気づきにくく、被害が広がりやすくなる点にも注意が必要です。
クリックジャッキングの対策方法
クリックジャッキングは、ユーザーの操作を意図せずにすり替える巧妙な攻撃です。
ここでは、実際に効果のある6つの対策方法について解説します。
X-FRAME-OPTIONSを設置する
「X-FRAME-OPTIONS」は、Webページが他サイトからiframeで読み込まれないように制御するセキュリティ機能です。
これをHTTPレスポンスヘッダーで設定することで、攻撃者が自サイトの内容をiframeに読み込んでクリックを誘導する手口を防げます。
主な指定値は「DENY(すべて拒否)」「SAMEORIGIN(同一ドメインのみ許可)」です。
サーバーの管理画面から比較的簡単に設定できるため、まず導入すべき基本的な対策です。
JavaScriptでフレーム制御を行う
JavaScriptを使って、ページが不正にフレーム内で表示されていないかをチェックする方法も有効です。
たとえば、if (window.top !== window.self) のような記述により、iframe内で読み込まれていることを検知し、リダイレクトや表示停止などの処理を実行できます。
この方法は、X-FRAME-OPTIONSが利用できない場合や、一部の古いブラウザ環境に対応するための補完策として有効です。
適切にスクリプトを組み込むことで、意図しない表示環境からのアクセスをブロックできます。
OSやブラウザをアップデートする
クリックジャッキングを防ぐためには、OSやブラウザを常に最新の状態にしておくことが大切です。
古いバージョンのままだと、すでに見つかっているセキュリティの弱点が修正されておらず、攻撃の対象になりやすくなります。
アップデートは自動で行えるように設定しておくと、更新のし忘れを防ぐことができます。
会社や組織で使っている場合は、各パソコンのアップデート状況を確認したり、定期的にルールを見直したりすることも重要です。
最新の状態を保つことで、攻撃を受けるリスクを大きく減らせます。
ウイルス対策ソフトを導入・更新する
ウイルス対策ソフトには、Webページ上での不正なスクリプト動作を検出・遮断する機能を備えたものもあります。
リアルタイム保護機能により、クリックジャッキングに似た挙動を検知した際に、警告表示やブロックを行うことが可能です。
ただし、導入しているだけでは十分とはいえません。
常に最新の状態を保ち、定義ファイルの更新や定期的なスキャンを行う必要があります。
無料ソフトでは対応範囲に限りがある場合が多いため、利用環境に応じた製品の選定が重要です。
対策用ブラウザアドオンを活用する
一部のブラウザでは、クリックジャッキングを防ぐための専用アドオンや拡張機能が提供されています。
これらのアドオンにより、iframeの読み込みを制限したり、透過要素のクリックを無効化したりするなどの制御が可能です。
公式のブラウザ拡張機能ストアから入手できるものが多く、インストール後すぐに機能を利用できます。
ただし、セキュリティの観点からも導入時は提供元の信頼性や更新頻度をよく確認しましょう。
クリックのみで実行できない操作設計にする
Webサイトやアプリを設計する際に、重要な操作を1回のクリックだけで完了させないようにすることも効果的です。
たとえば、確認メッセージを表示したり、チェックボックスによる同意を求める設計にしたりすることで、誤操作のリスクを減らせます。
購入や設定変更など、意図しない処理が大きな影響を与える場面では、ユーザーが自覚的に操作できるよう促す設計が求められます。
利便性と安全性のバランスをとりながら、ユーザーの保護を実現することが重要です。
クリックジャッキング対策で被害を防ごう
クリックジャッキングは一見気づきにくく、深刻な情報漏えいや業務妨害を引き起こす可能性があります。
ただ、攻撃の仕組みや被害例、主な偽装手法を理解し、対策を講じることでリスクを大幅に軽減できます。
今回は、クリックジャッキングの仕組みから代表的な手法、実際の被害事例、そして企業が講じるべき具体的な対策までを解説しました。
特に、X-FRAME-OPTIONSの設置やJavaScriptによるフレーム制御といった対応は、早急に取り入れるべき基本対策です。
業務の安全性を高めるためにも、自社サービスの現状を見直し、リスクの芽を早期に摘む姿勢が求められます。
本記事を参考に、クリックジャッキング対策を万全に整えましょう。
おすすめのお役立ち資料はこちら↓
