Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、iframe等に当該機能を呼び出す画面を表示しておき、利用者(被害者)に実行ボタンを押させる(=クリックジャック)手法です。クリックジャッキングに関しては従来詳しい解説がありませんでしたが、この3月26日にIPAから「クリックジャッキング」に関するレポートが公開されました。 このレポートから、クリックジャッキングのイメージを示す図4を引用します。 サイトAが攻撃対象のサイト、悪意のあるページは罠にな
![IPAから「クリックジャッキング」に関するレポート出ました](https://cdn-ak-scissors.b.st-hatena.com/image/square/1e885ee80a2fd336548213943f852963b90856f5/height=288;version=1;width=512/https%3A%2F%2F2.bp.blogspot.com%2F-feUyqvjbGCA%2FUVUuPJu--8I%2FAAAAAAAAFFY%2FBCafqX9GHcI%2Fw1200-h630-p-k-no-nu%2Fipa-clickjacking-001.png)