Clickjacking
クリックジャッキングとは、ウェブサイトの利用者をだまして、悪意のあるリンクを無意識にクリックさせるインターフェイスベースの攻撃です。クリックジャッキングでは、攻撃者は、ウェブサイト内のボタンや正規のページに悪意のあるリンクを埋め込みます。攻撃が仕込まれたサイトでは、ユーザーが正規のリンクをクリックするたびに、攻撃者はそのユーザーの機密情報を取得し、最終的にインターネット上でのユーザーのプライバシーを侵害することになります。
クリックジャッキングは、Content Security Policy (frame-ancestors) の実装と、Set-Cookie 属性の実装により防ぐことができます。
さらに学ぶ
- ウェブセキュリティ:クリックジャックからの保護
- Wikipedia 上の Clickjacking (英語)
- OWASP 上の Clickjacking (英語)