JPCERT/CC、クリックジャキング対策の技術資料を公開:サイトの安全性強化に
JPCERT/CCは、Webサイト内のクリックを乗っ取り、閲覧者を不正サイトへ誘導する「クリックジャキング」に対処するための資料を公開した。
» 2009年03月03日 16時55分 公開
[ITmedia]
JPCERTコーディネーションセンター(JPCERT/CC)は3月3日、Webサイト内のクリックを乗っ取る「クリックジャキング」(clickjacking)問題への対策を解説した技術資料を公開した。Webサイト運営者やWebデザイナー向けに提供する。
クリックジャキングは、クリックに含まれる要素に悪質サイトなどの情報を埋め込んで、その上に正規サイトの情報を重ねる手口。閲覧者に正規サイトの情報を見せつつ、実際には悪質サイトへ誘導する。
主要なWebブラウザが抱える脆弱性としてセキュリティ研究者らが指摘しているが、影響が広範に及ぶ恐れがあるため、詳細な内容は公開されていない。2月には米Twitterでクリックジャキング被害が激増した。
技術資料は、MicrosoftのInternet Explorer(IE) 8に搭載される「X-FRAME OPTIONS」機能を活用するために必要なWebサイト側の対策方法についてを解説。WebサーバのHTTPレスポンスヘッダーにX-FRAME OPTIONSを追加することで、IE 8側では管理者が拒否したコンテンツを表示させないため、クリックジャキングを回避できる可能性が高まるという。WebサーバやHTMLページにおけるX-FRAME OPTIONSの指定方法について詳細に説明している。
関連記事
「クリックしてはいけない」――Twitterで横行する手口
「クリックしてはいけない」と言われると、ついクリックしたくなるものだが……。
Adobeがクリック乗っ取りの回避策公開、Firefoxはプラグインで防止
米Adobe Systemsが当面の攻撃回避策を紹介している。Firefox用プラグインのNoScriptは攻撃防止機能を盛り込んだアップデートを公開した。
Adobe、クリック乗っ取り問題に対処
最新版のFlash Player 10.0.12.36は「クリックジャッキング」問題など複数の深刻な脆弱性に対処した。
「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か
ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 爆売れだった「ノートPC」が早くも旧世代の現実
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
ITmediaはアイティメディア株式会社の登録商標です。