不正操作を促す話題の攻撃手法「クリックジャッキング」、JPCERT/CCが対策法を公開

　有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は3月3日、クリックジャッキングに対する技術メモをPDF資料で公開した。ウェブサイト制作者や運営者を対象に、クリックジャッキング攻撃の概要や対策の1つである「X-FRAME-OPTIONS」の概要、記述方法、設定値による挙動の違いについて解説している。

　クリックジャッキングは、Robert Hansen氏、Jeremiah Grossman氏が報告した、ウェブ利用者を標的とした攻撃手法。主要なブラウザ利用者すべてがこの脅威の影響を受けることが明らかになっている。2008年9月27日に「OWASP NYC AppSec 2008カンファレンス」において詳細を発表する予定が、ベンダーからの要請により直前にキャンセルされたことでも話題となった。

　クリックジャッキングの手法は次の通り。まず、透過指定されたiframeなどの要素に標的サイトのコンテンツを読み込み、これを攻撃者サイトの他の要素よりも上に配置する。これにより、ウェブブラウザの画面上には攻撃者サイトの要素だけを表示させる。利用者が攻撃者サイトをクリックしたつもりが、実際には標的サイトをクリックしたことになる。

　JavaScriptを無効にしていても影響を受ける、標的サイト上の任意の要素に対し、画面遷移を含む複数回のクリックをさせられるなどの特徴がある。この手法を攻撃者が悪用することにより、悪意あるサイトに誘導された利用者が、気付かない間に標的サイト上でショッピングカートの操作、メールの送信、広告のクリック、会員サービスからの退会などといった不正操作をさせられる可能性がある。

　現在、クリックジャッキングに対するさまざまな対策手法が模索されている。実装が進んでいるものとして、サイト制作者側の対策ではJavaScriptのWindowオブジェクトを使用する手法などがある。また、ユーザー側の対策ではフレームの不透明度や表示の前後位置を細工したコンテンツの表示を避けるという方法がある。しかし、これらの対策手法にはデメリットもあり、決定的な対策とはいえない。

　マイクロソフトの次期ブラウザ「Internet Explorer 8」（IE8）では、新たにサポートされる「X-FRAME-OPTIONS」というHTTPレスポンスヘッダによって対策を図っている。管理者は、ウェブサーバが送信するHTTPレスポンスヘッダに「X-FRAME-OPTIONS」を加えるよう設定することで、IE8に対し、外部サイト上のフレームに自分の管理するページを表示するかどうかを宣言できる。

　X-FRAME-OPTIONSは、サイトの制作者や運営者が実行可能なクリックジャッキング対策として有望だとJPCERT/CCは述べている。特にクリックジャッキングによる脅威が大きいと考えられるショッピングサイトや、オンラインバンキングサイトでは、脅威からの利用者保護を目的としてこのヘッダの導入を検討すべきとのことだ。

　現在のところ、標準でX-FRAME-OPTIONSを元にレンダリングの挙動が変わるブラウザはIE8のみ。Firefox用のアドオンであるNoScriptはこのヘッダに対応している。また、X-FRAME-OPTIONSが効力を発揮するには、これに対応したブラウザが一般ユーザーに行き渡るとともに、クリックジャッキング対策が必要なすべてのウェブサイトがこのヘッダを送出することが条件になる。

　その間にも、新たなクリックジャッキングの手法が出てくることが予想されるため、新たなクリックジャッキング対策の検討や、攻撃手法の分析を並行して進めることが必要であるともコメントしている。