ニュース
JPCERT/CC、クリックジャキング対策の技術資料を公開:サイトの安全性強化に
JPCERT/CCは、Webサイト内のクリックを乗っ取り、閲覧者を不正サイトへ誘導する「クリックジャキング」に対処するための資料を公開した。
JPCERTコーディネーションセンター(JPCERT/CC)は3月3日、Webサイト内のクリックを乗っ取る「クリックジャキング」(clickjacking)問題への対策を解説した技術資料を公開した。Webサイト運営者やWebデザイナー向けに提供する。
クリックジャキングは、クリックに含まれる要素に悪質サイトなどの情報を埋め込んで、その上に正規サイトの情報を重ねる手口。閲覧者に正規サイトの情報を見せつつ、実際には悪質サイトへ誘導する。
主要なWebブラウザが抱える脆弱性としてセキュリティ研究者らが指摘しているが、影響が広範に及ぶ恐れがあるため、詳細な内容は公開されていない。2月には米Twitterでクリックジャキング被害が激増した。
技術資料は、MicrosoftのInternet Explorer(IE) 8に搭載される「X-FRAME OPTIONS」機能を活用するために必要なWebサイト側の対策方法についてを解説。WebサーバのHTTPレスポンスヘッダーにX-FRAME OPTIONSを追加することで、IE 8側では管理者が拒否したコンテンツを表示させないため、クリックジャキングを回避できる可能性が高まるという。WebサーバやHTMLページにおけるX-FRAME OPTIONSの指定方法について詳細に説明している。
関連記事
- 「クリックしてはいけない」――Twitterで横行する手口
「クリックしてはいけない」と言われると、ついクリックしたくなるものだが……。 - Adobeがクリック乗っ取りの回避策公開、Firefoxはプラグインで防止
米Adobe Systemsが当面の攻撃回避策を紹介している。Firefox用プラグインのNoScriptは攻撃防止機能を盛り込んだアップデートを公開した。 - Adobe、クリック乗っ取り問題に対処
最新版のFlash Player 10.0.12.36は「クリックジャッキング」問題など複数の深刻な脆弱性に対処した。 - 「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か
ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.