クリックジャッキング

ユーザーが表示されている要素ではなく、隠されたまたは誤って表示された要素と対話していると誤って誘導する、詐欺的なウェブ攻撃。

定義

クリックジャッキング（クリックハッキングまたはUIリデッセスとも呼ばれる）は、不正なアクターがウェブページの要素を重ねたり隠したりして、ユーザーが表示されているボタン、リンク、コントロールをクリックすると信じているが、実際には隠されたインターフェースで意図しないアクションを実行してしまうセキュリティエクスプロイトである。これは通常、透過的なiframesや重ねられたHTML/CSS要素を活用し、ユーザーが支払いの承認やカメラ/マイクのアクセスの有効化、または意識せずに機密データの送信を引き起こす。要するに、ユーザーが意図せずに隠されたコンテンツと対話させることで、ユーザーの入力を不正に制御する。クリックジャッキングはウェブセキュリティにおける重要なリスクであり、開発者はこのようなインターフェースベースの詐欺に対して防御的な対策を講じる必要がある。

優点

• セキュリティ専門家がユーザーインターフェースのエクスロイテーション技術を深く理解するのを支援する。
• ブラウザーやアプリケーションの設計における弱点を浮き彫りにし、防御戦略の改善を促進する。
• X-Frame-OptionsやCSPのframe-ancestorsヘッダなどの保護ヘッダーの開発に役立つ。

劣点

• 意図しない金融取引や不正な購入を引き起こす可能性がある。
• 認証情報や個人情報などの機密情報が攻撃者に漏洩する可能性がある。
• ユーザーの承諾なしにデバイスの権限（例: ウェブカメラ）を有効化できる。
• 基本的なHTML/CSSおよびiframesの操作で実行が可能である。

使用例

• サイバー犯罪者がユーザーをSNSプラットフォームでコンテンツを「いいね」や共有させることで詐欺を行う（likejacking）。
• 支払いボタンを重ねて表示し、不正な取引を開始する。
• 悪意あるページがユーザーに意図せずにウェブカメラやマイクへのアクセスを許可させてしまう。
• 誘惑的なリンクがマルウェアのインストールや有害なサイトへのリダイレクトを引き起こす。
• セキュリティ評価では、ウェブアプリケーションのUI防御をテストするためにクリックジャッキングをシミュレートする。