クリックジャッキングのような名前でも知られています。ユーザーインターフェイス修復攻撃、UI修復攻撃、UIの修正、 これは、攻撃者が複数の複雑なレイヤーを作成して、ユーザーが別のページをクリックしようとしたときに別のページ上のボタンやリンクをクリックさせるために使用される一般的な悪意のある手法です。したがって、攻撃者は、元のページからリンクを「ハイジャック」しながら、ユーザーを制御して外部ソースからのリンクをクリックさせることに成功します。この手法は、ユーザーの悪用に関して無制限に使用できます。たとえば、このような攻撃により、顧客が元のページを反映したサードパーティのページに銀行口座の詳細を入力するよう誘導される可能性があります。
クリックジャッキング攻撃とは
クリックジャッキングは、悪意のあるリンクが本物のクリック可能なボタンやリンクの背後に隠されており、ユーザーがクリックするだけで間違ったアクションを実行する、悪意のあるアクティビティです。
この手法の一般的で非常に破壊的な例としては、攻撃者が「コンテストに参加するにはここをクリックしてください”。ただし、ボタンのすぐ横に、「」にリンクするほとんど目に見えないフレームが配置されています。「Gmail アカウントのすべての連絡先を削除」。被害者はボタンをクリックしようとしますが、実際には目に見えないボタンをクリックしてしまいます。したがって、攻撃者はユーザーの「クリック」を「ハイジャック」したため、クリックジャッキングという名前が付けられました。
最近では、クリックジャッキングが Adobe Flash Player や Twitter などの人気サービスに侵入しています。一部の攻撃者は Adobe Flash プラグインの設定を変更しました。このページを非表示の iframe にロードすることで、攻撃者はユーザーをだまして Flash のセキュリティ設定を変更させ、Flash アニメーションにコンピュータのマイクとカメラの使用を許可する可能性があります。
Twitter について言えば、クリックジャッキングが Twitter ワームに侵入しました。この攻撃はかなり巧妙にユーザーをターゲットにしており、Twitter がウイルス制御に介入する前に、ユーザーが特定の場所をリツイートして広く拡散することを強制されました。
カーソルジャッキングとは
クリックジャッキングの 1 種類は、マウス カーソルを偽装し、ユーザーにクリックを同じページ上の別の場所に置き換えるよう誘導します。人気の事件カーソルジャッキングMac OS X システム上の Mozilla Firefox で、Flash、HTML、JavaScript コードを使用して発見されました。これにより、Web カメラの覗き見や、トラップされたユーザーのコンピュータ上でマルウェアの実行を可能にする悪意のあるアドオンの実行につながる可能性があります。
ライクジャッキングとは
カーソルジャッキングとは別に、次のような事件も報告されています。ライクジャッキング。 Facebook がポップ カルチャーに登場した後に普及したこの用語は、その人が本来知らないはずの Facebook ページにいいねをするように乗っ取ることを意味します。
クリックジャッキング保護のヒント
X フレームのオプション
Microsoft のこのソリューションは、マシンに対するクリックジャッキング攻撃に対して最も効果的なソリューションの 1 つです。すべての Web ページに X-Frame-Options HTTP ヘッダーを含めることができます。これにより、サイトがフレーム内に配置されなくなります。 X-Frame は、Safari、Chrome、IE を含むほとんどのブラウザの最新バージョンでサポートされていますが、Firefox では問題が発生する可能性があります。 X-Frame の使用の優れた点は、非常にシンプルですが、Web サーバー構成とサーバー上のスクリプト言語にアクセスする必要があることです。
ページ上の要素を移動する
Web ページにクリックジャッキングを仕掛けようとする攻撃者は、ユーザー側の要素の現在の場所を知りません。彼は、デフォルト設定に基づいて感染要素を配置することしかできません。ページ上の要素を移動してみることをお勧めします。たとえば、攻撃者は Facebook の「いいね!」ボタンをターゲットにする可能性があります。その要素を別の場所に移動すると、そのようなインシデントが発生したことを簡単に検出できます。このソリューションの唯一の問題は、通常のユーザーが実行するのが非常に難しいことです。
ワンタイム URL
これは、クリックジャッカーから保護するかなり高度な方法で、基本的なフィルターを超える知識を持っている可能性があります。重要なページへの URL にワンタイム コードを含めると、攻撃がさらに難しくなる可能性があります。これは、CSRF を防ぐために使用されるノンスに似ていますが、ターゲット ページ内のフォームではなく、ターゲット ページへの URL にノンスが含まれるという点で独特です。
フレームバスターJavaScript
クリックジャッキング攻撃の爪から逃れるもう 1 つの方法は、検出する Javascript コードをチェックすることです。このプロセスはフラムバスティングと呼ばれます
クリックジャッキング防止のヒント
電子メール保護を評価する
強力な電子メール スパム フィルターをインストールしてチェックすることは、アカウントに対するあらゆる種類の攻撃を効果的に検出する 1 つの方法です。クリックジャッキング攻撃は通常、電子メールを通じてユーザーをだまして悪意のあるサイトにアクセスさせることから始まります。これは、本物のように見える偽造電子メール、または特別に作成された電子メールを実装することによって行われます。不正な電子メールをブロックすると、クリックジャッキングなどの潜在的な攻撃やその他の多くの攻撃も軽減されます。
Web アプリケーション ファイアウォールを使用する
WEF の Web アプリケーション ファイアウォールは、ほとんどのデータをインターネット上に置いている企業にとって、セキュリティの重要な側面です。これらの企業の一部は、その必要性を無視し、最終的に大規模なクリックジャッキング事件による攻撃を受ける傾向があります。最近のデータによると、過去 10 年ほどで全中小企業の 70% 近くが何らかの形でハッキングされました。これにより、大きな負担が軽減され、リスクが大幅に軽減され、直面する可能性のある損失よりもコストが低くなります。
残念ながら、攻撃者は最終的にほとんどのテクニックを突破する方法を見つけるため、クリックジャッキングを防ぐための完璧な解決策はありません。それにもかかわらず、このような攻撃に対する最も効果的な救済策は、X-Frame と FrameBuster Javascript です。
今すぐ読んでください:クリック詐欺とオンライン広告詐欺とは何ですか?
