HOMEIPAについて新着情報過去年度の記事2012年度IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート

本文を印刷する

IPAについて

IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート

~クリックジャッキング攻撃の対策が行われていたのは、56サイトの内3サイト~


2013年3月26日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況に関する調査を行いました。その結果、ほとんどのウェブサイトで対策が行われていなかったため、「クリックジャッキング」の仕組みやその対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第17回)を作成、公開しました。

 「クリックジャッキング」は2008年にその脅威が周知された攻撃で、ユーザを視覚的にだまして正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃のことです。操作した自覚がないにもかかわらず、SNSサイトなどウェブサイト上で非公開としていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の一つとなっています。既に主要なブラウザでは対策が進められていますが、この攻撃への対策はブラウザだけではなくウェブサイトにおいても実施する必要があります。

 そこで、IPAは2013年の2月から3月にかけて、「クリックジャッキング」攻撃の対策が浸透しているかどうかを、ログイン機能を持ちウェブサイト上でユーザ情報の変更等ができるウェブサイト56件を抽出し調査しました。その結果、対策済みだったのは 3サイトで、残り53サイトでは未対策(*1)であることが判りました。本調査では、「クリックジャッキング」攻撃の根本的な対策の一つであるX-FRAME-OPTIONSヘッダを付与していない(*2)ことを未対策の判断基準としています。この対策が進んでない理由として、その仕組みや対策方法が理解されていないことにあるとIPAでは推測しています。

 このため、IPAは「クリックジャッキング」攻撃への対策が進むよう、その仕組みおよび対策について解説したレポートを公表することにしました。本レポートの対象読者は、ウェブサイトの構築や運営に携わる技術者を想定しています。

 本資料が「クリックジャッキング」の理解と対策方針の参考のために活用されることを期待します。

本レポートの概要
  • 1章:クリックジャッキングとは(P.3)
  • 2章:クリックジャッキング攻撃に関する対策状況の調査(P.6)
  • 3章:クリックジャッキング攻撃への対策(P.8)

脚注

(*1)IPAでは未対策のウェブサイト運営者に連絡を行っています。

(*2)サイトへの攻撃はX-FRAME-OPTIONSヘッダが付与されていないからというだけで、攻撃を受けてしまうとは必ずしもいえませんが、IPAではこの対策が最も有力な手段であると考えています。

レポートのダウンロード

テクニカルウォッチ概要のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小林/金野/関口

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。