クリックジャックは最新の地下ダンスの流行のように聞こえるかもしれませんが、それはそれほど遠くありません。クリックジャッキは、詐欺師やその他のインターネットベースの悪質な人が、見えないボタンや他のユーザーインターフェイス要素を、見えない透明なレイヤーを使用して、無害なウェブページのボタンやインターフェイス要素の上に配置するときに発生します。
無実のウェブページには、「かわいい子猫の可愛い子猫のビデオを見るにはここをクリックしてください」というボタンがありますが、そのボタンの上に隠されているのは目に見えないボタンです。そうでなければボタンをクリックしたいと思うボタン:
- Facebookアカウントのプライバシー設定を変更する
- あなたが好きではないと思うようなものを「好き」に騙す(a.k.a Likejacking)
- あなたにふさわしくない人のために自分をTwitterフォロワーとして追加することに騙されます
- あなたのコンピュータ上の何かを有効にする(マイクロフォンやカメラなど)
多くの場合、Clickjackerは正当なウェブサイトをフレームにロードして、目に見えないボタンを実際のサイトの上に重ねます。
あなたのクリックをクリックジャックから防ぐ
ブラウザを最新かつ最高のバージョンに更新していない場合は、Clickjackedを取得できない可能性があるアップグレードで行方不明になるだけでなく、一部の他のセキュリティアップデートも利用していませんFirefox、IE、Chrome、その他のインターネットブラウザの新しいバージョンが含まれています。ブラウザを最新のパッチバージョンに更新してください。また、現在インストールされているバージョンよりも最新バージョンのブラウザがあるかどうかを確認することもお勧めします。
一部の古いバージョンではClickjacking攻撃の脆弱性があるため、Flashなどのブラウザプラグインも更新する必要があります。ブラウザプラグインを更新するには、各プラグインメーカーのWebサイトにアクセスし、最新バージョンをダウンロードしてください。たとえば、フラッシュを更新するにはAdobeのFlashサイトを参照してください。
コンピュータを最新の状態に保つ方法の詳細については、最新のセキュリティ脆弱性およびパッチに対応する方法の記事を参照してください。
いくつかのインターネットブラウザにはClickjacking保護機能が組み込まれていますが、Firefoxなどのブラウザで利用できるClickjacking検出/防止プラグインはいくつかあります。それらのいくつかは無料です。より広く知られているものと尊敬されているものがあります:
- NoScript - 無料の(寄付用)アンチクリックジャッキー・プラグイン。
- Comitari Web Protection Suite-Home LE(限定版) - Comitari Web Protection Suiteの機能制限付き無料版です。 LEバージョンにはクリックジャッキ保護機能が含まれています。
クリックジャッキ防止は、ユーザーの責任ではありません。 WebサイトやWebアプリケーション開発者は、Clickjackersがコンテンツを悪用するのを防ぐ役割も担っています
Clickjackingの危険性についてのより良い教育、攻撃の認識方法、対処方法、Clickjackingを防ぐためのWebサイトやWebアプリケーション開発者のサポートと相まって、世界はClickjackersから解放されるかもしれません。
