こんにちは。宮垣です。 昨今、セキュリティ問題のニュースが世間を賑わすことが多くなってきていますが、 今回は、クリックジャッキング対策について書きたいと思います。 最近では、セキュリティチェックベンダーのチェック項目にも、よく含まれています。 クリックジャッキングとは 「悪意のあるサイト上の特定箇所をクリックさせ、別サイトの設定情報を変更させる」 攻撃手法の事です。 攻撃者は、悪意のあるサイトにiframeで別サイトを埋め込み、 それを視覚的に見えないよう工夫することで、ユーザーが気づかないうちに、 別サイトの設定情報を変更することを期待しています。 仮に、その別サイトが個人情報の公開・非公開を設定できるものであった場合、 悪意のあるサイトで公開状態にさせられ、攻撃者にその個人情報が取得されてしまいます。 図1:ユーザーが攻撃を受けるまで遷移図 ----------------------