透明フレーム攻撃 - クリックジャッキング
透明な iframe を重ねて、ユーザーに意図しないクリックをさせる攻撃。
概念図
攻撃シナリオ
同一オリジンのみ iframe 許可
bash
X-Frame-Options: SAMEORIGINCSP で iframe を制限
bash
Content-Security-Policy: frame-ancestors 'self'対策
- X-Frame-Options ヘッダ:
DENYまたはSAMEORIGINを設定 - CSP の frame-ancestors: より細かい制御が可能
- JavaScript によるフレームバスティング:
top !== selfのチェック(補助的)
ユーザー側の対策
- アドレスバーの URL を確認する: クリックジャッキングでは罠ページの URL がアドレスバーに表示される。正規サイトの URL と異なる場合は操作を中止する
関連トピック
Content Security Policy (CSP)- ブラウザが読み込めるリソースの種類やオリジンを制限する HTTP ヘッダ。XSS の被害を大幅に軽減できる。 CSRF(クロスサイトリクエストフォージェリ)- ログイン済みのユーザーに意図しないリクエストを送信させる攻撃。 セキュリティヘッダ- HTTP レスポンスヘッダでブラウザのセキュリティ機能を有効化する。CSP, HSTS, X-Frame-Options など複数のヘッダを組み合わせて防御層を構築する。 アクセス先 URL の確認- リンクをクリックする前にアクセス先の URL を確認する習慣が、フィッシングやクリックジャッキングなどの攻撃から身を守る基本的な対策になる。