クリックジャッキングとは？攻撃の手口や被害事例、効果的な対策を解説【お役立ち情報】

「サイバー攻撃の種類と被害」記事一覧

クリックジャッキングとは？攻撃の手口や被害事例、効果的な対策を解説

: 普段利用している商品のサポートページの問い合わせボタンをクリックしたら、なぜかログインIDとパスワードを入力する画面に移りました。これって入力しても問題ないのでしょうか？

: いいえ、入力してはいけません。これは「クリックジャッキング」といって、サイト訪問者を騙して意図しない操作をするように誘導するサイバー攻撃の一種かもしれませんよ。

クリックジャッキングは、WEBサイト上に偽装したリンクやボタンを設置し、訪問者を視覚的に騙して誘導する攻撃手法です。

攻撃者は、別の機能を実行するボタンに見せかけ、埋め込まれたコードを訪問者に気付かれないように実行します。
そして騙されてクリックした利用者の個人情報を盗む、という悪質なサイバー攻撃です。

目に見えない悪質なボタンを設置させないためには、WEBサイト開発者の対策が必要不可欠。
そこで今回は、クリックジャッキングの攻撃の手口や被害事例、効果的な対策を解説します。

この記事の目次

1.クリックジャッキングとは？
- 1-1.クリックジャッキング攻撃の仕組み
- 1-2.クリックジャッキングで想定される被害
2.クリックジャッキングの被害事例
- 2-1.意図しないFacebookの「いいね！」ボタン
- 2-2.クリックジャッキングを利用したアフィリエイト広告
3.クリックジャッキングに効果的な対策3選
4.クリックジャッキングを防ぐセキュリティ対策商品をご紹介
- 4-1.高い検出力と軽快な動作で人気No.1のウイルス対策ソフト「ESET」
- 4-2.セキュリティ機能を一元化した最高峰システム「Cyber Box Pro」
5.まとめ

クリックジャッキングとは？

クリックジャッキングとは、WEBサイト上に偽装したリンクやボタンを設置し、知らずにクリックした利用者に意図しない動作をさせる攻撃です。

具体的な特徴としては、ボタンやリンクなどを透明化し、WEBページの通常のボタンの上にかぶせるというもの。
近頃はパソコンだけでなくスマホやタブレットでも被害が出ており、インターネットに繋がる全ての端末で警戒が必要です。

クリックジャッキング攻撃の仕組み

では次に、クリックジャッキングはどのような仕組みで行われるのでしょうか？

サイバー犯罪者はまず、「①利用者の目に留まり思わずクリックしたくなるサイト」と「②利用者にとって意図しない動きをさせる透明のボタン」の2つを作成します。
そうして、以下のような手順で訪問者の個人情報を盗み取ります。

1.サイバー犯罪者が①のサイト上に、透明化した②を重ね合わせて公開
2.サイトを訪れた利用者が、気になって①のサイトをクリック
3.利用者は①のサイトをクリックしたはずが、②のボタンをクリック
4.②のボタンは利用者の情報を公開することを許可
5.利用者の個人情報がサイバー犯罪者の手に渡る

クリックジャッキングで想定される被害

クリックジャッキングにより、以下の被害に遭う可能性があります。

✔ 意図せず商品を購入
✔ SNSで勝手にフォロー
✔ サイバー犯罪者の攻撃の踏み台
✔ ウイルスに感染

: よくあるケースでは、アフィリエイト広告をクリックさせるための手口として使われます。またSNSで見知らぬ人からメッセージが来るのも、クリックジャッキングで知らぬ間にフォローしたことが原因です。

クリックジャッキングの被害事例

続いて、クリックジャッキングの実際の被害事例を2つご紹介します。

事例①意図しないFacebookの「いいね！」ボタン

Facebookで自己啓発に関する面白いWEBサイトを閲覧し、続きを読もうと「次へ」をクリックしました。
すると翌日になって自身のFacebookページに、怪しい自己啓発の発信者から身に覚えのない広告が次々と入るように。

実は「次へ」のボタンの上に、Facebookの「いいね！」ボタンが隠されていたというわけです。

事例②クリックジャッキングを利用したアフィリエイト広告

開発元は不明でしたが、使い勝手が良さそうで口コミも複数あり、安心して画像編集のフリーソフトをダウンロードしました。
ダウンロード完了後、「ウイルスを検知しました」とポップアップが表示され、慌てて「駆除する場合はここをクリック！」のボタンを押下。

その後マウスのカーソルが動かなくな、り意図しない画面も表示されるなど、パソコンの挙動がおかしくなりました。
「駆除する場合はここをクリック！」のボタンの上に、ウイルスを動かすボタンが隠されていたというわけです。

クリックジャッキングに効果的な対策3選

次に、クリックジャッキングに遭わないための効果的な対策をご紹介します。

他サイトで紹介される対策の中に「Flashの無効化」や「Javascriptの無効化」がありますが、この機能を無効化すると多くのサイトが見られなくなる可能性があるため、おすすめしません。

対策①OSやソフトウェアのバージョンの最新化

クリックジャッキングは、「脆弱性」のあるWEBサイトに透明化されたボタンやリンクを仕掛け、訪問者の意図しない操作を促します。

そのため、Google ChromeなどのブラウザやWindowsなどのOSは、常に脆弱性が修正された最新バージョンに更新しましょう。

: 脆弱性には深刻な影響を及ぼすものもあり、放置していると悪意のある攻撃によって被害を受ける可能性が高く大変危険です。よって脆弱性の修正パッチが提供されたら、必ずアップデートしてください。

対策②ウイルス対策ソフトの導入

クリックジャッキング対策として、「ウイルス対策ソフト」を導入するのもおすすめです。

また企業で利用するのであれば、フリー（無料）ソフトではなく、高性能・高機能でサポート体制も安心の有料ソフトを導入しましょう。

: ウイルス対策ソフトは怪しい挙動を見つけたり、不正なプログラムを検知すると警告してくれます。クリックジャッキングはもちろん、あらゆるサイバー攻撃によるリスクも軽減できますよ。

【最新】ウイルス対策ソフトおすすめ10選！必要性や選び方のポイントも解説

対策③X-FRAME-OPTIONSの設置

WEBサイトの管理者ができる最も効果的な対策として、「X-FRAME-OPTIONS」の導入があります。

「X-FRAME-OPTIONS」とは、運営するWEBサイト内に外部から埋め込まれた他のWEBサイトを表示・非表示を指定できるパラメータ。
導入することで、外部からのiframe、embebなどの不正なページ呼び出しをブラウザでブロックすることが可能です。

またX-FRAME-OPTIONSは、主に以下のWEBサイト・ページに設置することをおすすめします。

マイページで個人情報の「公開・非公開」が選べるサイト
利用者が投稿できるサイト（SNS、掲示板など）
利用者が退会するためのページ

クリックジャッキングを防ぐセキュリティ対策商品をご紹介

人の手で作られる限り、脆弱性のない完璧なWEBサイトはないといっても過言ではありません。

そこで脆弱性を突いた攻撃を防ぐために有効なのが、「セキュリティ対策商品」の導入。
サイバー攻撃による被害を自動で食い止めてくれるので、利用しない手はありません。

では次に、クリックジャッキング対策におすすめのセキュリティ商品を厳選してご紹介します。

高い検出力と軽快な動作で人気No.1のウイルス対策ソフト「ESET」

ESET

セキュリティの基本は、ウイルス対策ソフトから。
導入するウイルス対策ソフトでお悩みなら、断然「ESET」がおすすめです。

ESETは高い検出力を誇り、既存ウイルスはもちろん新種のウイルスも高確率で検出可能。
さらに低負荷設計によりPCなどの使用端末に影響もなく、スキャン中の作業も軽快なので、業務に支障が出ることもありません。

「ESET」の特徴

不正なプログラムを検知し警告
パソコンの踏み台や不正アクセスをしっかり防止
新発見のウイルスでも即座にブロック
アカウントのログイン情報を一元管理し漏洩させない

＞法人向けセキュリティソフト「ESET」の詳細はこちら＜

セキュリティ機能を一元化した最高峰システム「Cyber Box Pro」

CYBER BOX PRO

現代では、サイバー攻撃の脅威はクリックジャッキングだけではなく、あらゆる攻撃が企業を脅かしています。
そういった全ての攻撃から企業を守るためには、総合的なセキュリティ対策が必要不可欠です。

そこでおすすめするのが、中小企業に必要なセキュリティ機能をパッケージ化した最高峰システム「Cyber Box Pro」です。
セキュリティソフトを一つひとつ入れると高額になりますが、Cyber Box Proはあらゆる機能をパッケージ化しながら月額9,800円～と安価に抑え、導入のしやすさも実現しています。

「CYBER BOX PRO」の特徴