クリックジャッキングとは？

皆さんは、クリックジャッキングという言葉を聞いたことありますか？

クリックジャッキングとは、わかりやすく言うと、隠れたリンクでユーザーをだましてクリックさせて、意図しないアクションを実行させ、機密情報を漏洩させたり、ハッキングしたりするサイバー攻撃の一種です。

クリックジャッキングとその手口、対策方法について、さらに詳しく解説します。

クリックジャッキングとは

クリックジャッキング（Clickjacking）は、サイバー攻撃の一種です。ウェブサイトに訪れた、ユーザーが意図しない動作をさせるために、透明なレイヤーや偽のインターフェースを使用して、欺いてクリックさせる攻撃手法です。具体的には、ユーザーがクリックすると思っている場所に、攻撃者が設定した別のコンテンツやボタンを重ねることで、ユーザーに知らないうちに別の動作をさせます。

たとえば、ユーザーが「いいね！」ボタンをクリックすると思っているのに、実際には別のウェブサイトのリンクをクリックしてしまうような場合があります。このような攻撃は、ユーザーのセキュリティ設定を無力化することができ、機密情報の漏洩や不正な操作を引き起こす可能性があります。

そのため、クリックジャッキングを見分けることが非常に困難です。

クリックジャッキングの危険性

クリックジャッキングでは、ユーザーはオンラインで目的の操作を行うためにクリックしますが、その結果、意図しないアクションが発生してしまうことに気づきません。つまり、サイバー犯罪者はあなたをだまして、悪意のあるソフトウェア（マルウェア）をダウンロードさせたり、機密の個人識別情報（PII）を誤って流出させたり、他の重大な結果に直面させたりする可能性があります。

クリックジャッキングは、さまざまなサイバー攻撃を開始する手段として使用されます。サイバー犯罪者は、パスワードや、銀行口座、クレジットカード、社会保障番号などの機密情報を盗む可能性がありますが、それを見つけることは困難です。こうした情報を収集する最終的な目的には、金銭の窃盗、アカウントの乗っ取り、個人情報の窃盗などがあります。

クリックジャッキングが起こる仕組み

サイバー犯罪者は、画面表示を操作してユーザーをだますために、クリックジャッキングの手法を利用します。正当にみえるフィールドの上に目に見えないフィールドを重ね、実際に取ろうとしている行動を偽装します。これはウェブサイト全体でも、ポップアップ広告部分のみでも起こり得ます。ハッカーは、自分のサイト内に正規のウェブサイトを埋め込み、可能な限り本物のように見せることさえあります。これは、なりすましウェブサイトとも呼ばれます。

自分が正規のサイトにいると思いこませ、クリックや認証情報の入力をさせたり、他の機密情報を提供させたりします。自分では正当なアクションを完了していると思っていても、実際は見えないフィールドによって誤ってマルウェアをダウンロードしたり、サイバー犯罪者に情報を送信したりしているのです。

 サイバー犯罪者は、正規のサイトにつながるように見せかけた広告を掲載したり、偽メールやテキストを送信したり、ソーシャルメディアに投稿したり、ウィルスに感染したポップアップを実行したりすることで、ユーザーを不正なインターフェースに誘導します。

クリックジャッキングの手口と実例

ここでは、クリックジャッキングの実際の例と手口をいくつかご紹介します。

Facebookの偽サイトを使った手口

Facebookのような有名なSNSからのメールと見せかけた、フィッシングメールを受け取る場合があります。このメールに含まれるリンクをクリックすると、見た目は本物のFacebookサイトとそっくりな偽のウェブページに誘導されます。このページには、Facebookで使用されるログインフィールドが表示されているように見えますが、実際にはサイバー犯罪者によって設置された透明な入力フィールドがその上に重なっています。ユーザーがログイン情報を入力すると、その情報は偽のフィールドを通じて犯罪者の手に渡り、アカウントのセキュリティが危険にさらされます。

銀行の偽サイトを使った手口

ユーザーが、楽天銀行やゆうちょ銀行の公式のものと見間違えやすい広告を目にすることがあります。これらの広告をクリックすると、見た目は楽天銀行やゆうちょ銀行の公式サイトのような偽のウェブページにリダイレクトされます。ここでユーザーが口座開設のために社会保障番号などの個人情報を入力すると、その情報は実は透明な偽の入力フィールドに記録され、サイバー犯罪者の手に渡ってしまいます。

ポップアップの閉じるボタンを使った手口

ウェブサイトを閲覧中に突然現れるポップアップが表示された場合、ユーザーは自然にポップアップを閉じるために「X」マークをクリックすることが多いです。しかし、この「X」マークが実は罠であり、クリックすることでユーザーのコンピュータに悪意のあるウイルスやマルウェアをダウンロードさせるリンクに偽装されていることがあります。

クリックジャッキングによる影響

クリックジャッキングが成功すると、サイバー犯罪者は PII や認証情報などの情報を盗んだり、デバイスにマルウェアをインストールしたりすることができます。スパイウェアや、ブラウザからパスワードを盗むキーロガーなど、あらゆる種類のマルウェアの可能性があります。

サイバー犯罪者が自分でデータを盗むにせよ、データを盗むソフトウェアをインストールするにせよ、最終目標は他のサイバー犯罪者にデータを販売することか、またはそのデータを利用して金銭や個人情報を盗むことです。

自分の個人情報が盗まれたり、誰かが銀行口座を乗っ取ったりしたことを証明するのは困難で、費用もかかる可能性があります。この種の攻撃の影響から完全に回復するには、何年もかかる場合があります。

クリックジャッキング攻撃の防止策はWebサイトの所有者次第

クリックジャッキング攻撃を防ぐことは、クリックジャッキングが発生する可能性があるウェブサイトの所有者の責任です。X フレームオプションの使用など、サイバー犯罪者が偽のサイトに正規のサイトを埋め込むのを防ぐ方法があります。このオプションは、ウェブサイトがフレームに組み込まれるのを防ぐためのコードです。これは、クリックジャッキングを防止するための大きな防護壁になります。

ウェブサイトの所有者は、サイトの潜在的な広告主についても慎重に吟味する必要があります。自分のサイトに掲載されている広告が正規のものであり、クリックジャッキングにつながらないことを確認する必要があります。

クリックジャッキングから身を守る対策と方法

ウェブサイトの所有者はユーザーを保護する責任を負いますが、時には間違ってクリックしてしまうこともあります。

もちろん、クリックジャッキングを各ユーザーが気をつけることで対策することが可能なので、いくつか対策方法を紹介します。

対策1: 信頼できるウェブサイトのみを参照する

有名でトラフィックの多いサイトは、一般的にセキュリティ対策がしっかりしており、クリックジャッキングのような攻撃からユーザーを保護する可能性が高いと言えます。これは、大規模なウェブサイトが持つリソースと技術的な専門知識によるものです。これらのサイトは、セキュリティの専門家を雇用し、最新の脅威に対する監視と対策を継続的に行っています。

しかし、これを逆手にとって、有名のサイトを名乗った偽サイトがあるので、注意が必要です。

対策2: 公式URLを使用して、ウェブサイトに移動する

公式URLを使用してウェブサイトにアクセスすることは、セキュリティを確保する上で非常に重要です。特に、機密情報を扱うサイトにアクセスする場合は、正規のURLを使うことが不可欠です。もし公式URLが不明な場合、Googleなどの信頼性の高い検索エンジンを利用すると良いでしょう。通常、正規のウェブサイトアドレスは検索結果の最初に表示されます。

対策3: ポップアップ広告をクリックするのは避ける

どのようなクリックでもマルウェアをダウンロードする危険があるため、ポップアップ高校が表示された際には、ブラウザのウィンドウを閉じるのが最も安全な方法です。ポップアップの「閉じる」ボタンやその他のリンクが実際には悪意のある動作をトリガーする可能性があるため、これらを避けることが賢明です。ウィンドウを閉じることにより、不正な操作やマルウェアのダウンロードから自身を守ることができます。加えて、ポップアップブロッカーのようなセキュリティ機能をブラウザに追加することも有効な手段です。

対策4: 緊急メールやテキストの正当性を調べる

サイバー犯罪者は、メッセージが正当なものであるかどうかを確認させないようにするために、緊急性を感じさせる言葉を使ってきます。必ず公式の連絡先情報で送信者であるはずの相手に直接連絡し、そのメッセージが本当にその送信者から来たものであるかどうかを確認しましょう。

対策5:  信頼できる場所からのみアプリやファイルをダウンロードする

オンライン上のファイルやアプリをダウンロードするランダムなリンクには、マルウェアが含まれている可能性があります。たとえ高価であっても、アプリは公式の Apple App Store や Google Play Store からダウンロードしましょう。

対策6: 話がうますぎる広告はクリックを避ける

サイバー犯罪者が高価な人気商品の大幅割引など、驚くようなオファーを提示してユーザーを誘い込む手法は、一見魅力的に見える広告を通じて偽サイトにリダイレクトすることを目的としています。ユーザーがこれらの広告をクリックすると、正規のオンラインショッピングサイトに見せかけた詐欺サイトに導かれます。このようなサイトでは、信用情報や個人情報を盗むための詐欺的なフォームが設置されていることが多く、ユーザーが購入プロセスを進めるうちに、クレジットカード情報や個人情報がサイバー犯罪者の手に渡るリスクがあります。

対策7: パスワードマネージャーを使用する

多くのパスワードマネージャーには、パスワードつきで保存したURLにのみ適用される自動入力機能があります。アカウントを持っている企業のサイトになりすました偽のウェブサイトの場合、パスワードマネージャーは認証情報を自動入力しないため、そのサイトが不正なものだとわかります。

まとめ：クリックジャッキングの被害にあわないよう対策を

クリックジャッキングは、サイバー犯罪者があなたを攻撃する手段の 1 つにすぎません。クリックジャッキングを対策したとしても、他のサイバー攻撃を仕掛けてくる可能性や危険性もあります。

そこで常にあらゆるサイバー攻撃に対する対策をしておくことが重要です。

Keeperのような、パスワードマネージャーはあらゆるアカウントのログイン情報やパスワードをサイバー攻撃から守る対策にもなります。

またサイバー攻撃だけではなく、パスワードの自動入力機能やあらゆるデバイスでのパスワード共有などを安全に行うこともサポートしています。

この機会にKeeperパスワードマネージャーの無料30日間トライアル体験を試してみてはいかがでしょうか。