クリックジャッキング

Webページで、リンクの上に利用者には見えないように透過指定した別のリンクを仕掛けて、意図しない操作をさせる攻撃手法のこと。悪意のあるページに誘導された利用者は、気がつかないままに商品購入やセキュリティ機能解除などのクリック操作をさせられてしまう。

クリックジャッキングは、Webブラウザーのぜい弱性を利用したものである。
Webページを構成するHTMLでは、ページ上に別のページを読み込み、それに透明度を指定することができる。透過した別のページを任意のページの上に重ねることで、利用者にはわからない状態で別のページへのリンクをクリックさせることが可能となる。

HTMLやFlashなどコンテンツを透過表示させるWebページの仕組みそのものに原因があるため、現在の主要Webブラウザーすべてがクリックジャッキングの脅威を受ける可能性がある。

対策としては、マイクロソフト社のWebブラウザーであるInternet Explorer 8ではクリックジャッキングを防ぐ機能の追加が、またアドビ社からもFlash Playerにおけるクリックジャッキングの回避策が発表されている。

ただし、これらの機能追加や回避策もWebサイト側が対応していなければ実効的ではなく、Webサイトの管理者は対策を考慮する必要がある。