ニュース
» 2009年03月03日 16時55分 公開

サイトの安全性強化に:JPCERT/CC、クリックジャキング対策の技術資料を公開

JPCERT/CCは、Webサイト内のクリックを乗っ取り、閲覧者を不正サイトへ誘導する「クリックジャキング」に対処するための資料を公開した。

[ITmedia]

 JPCERTコーディネーションセンター(JPCERT/CC)は3月3日、Webサイト内のクリックを乗っ取る「クリックジャキング」(clickjacking)問題への対策を解説した技術資料を公開した。Webサイト運営者やWebデザイナー向けに提供する。

 クリックジャキングは、クリックに含まれる要素に悪質サイトなどの情報を埋め込んで、その上に正規サイトの情報を重ねる手口。閲覧者に正規サイトの情報を見せつつ、実際には悪質サイトへ誘導する。

 主要なWebブラウザが抱える脆弱性としてセキュリティ研究者らが指摘しているが、影響が広範に及ぶ恐れがあるため、詳細な内容は公開されていない。2月には米Twitterでクリックジャキング被害が激増した。

 技術資料は、MicrosoftのInternet Explorer(IE) 8に搭載される「X-FRAME OPTIONS」機能を活用するために必要なWebサイト側の対策方法についてを解説。WebサーバのHTTPレスポンスヘッダーにX-FRAME OPTIONSを追加することで、IE 8側では管理者が拒否したコンテンツを表示させないため、クリックジャキングを回避できる可能性が高まるという。WebサーバやHTMLページにおけるX-FRAME OPTIONSの指定方法について詳細に説明している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -