こんばんわ！
世間では徳丸試験といわれている、ウェブ・セキュリティ基礎試験に挑戦しようということで、いつものごとくアウトプットで記事にまとめていきます。

今回は第十回目のクリックジャギングについてまとめます。

クリックジャギング

クリックジャギングは、Webサイト上に隠蔽・偽装したリンクやボタンを設置し、サイト訪問者を視覚的に騙してクリックさせるなど意図しない操作をするよう誘導させる手法です。その目的は、仕掛けた者＝攻撃者が何らかの利益を得ることや、サイト訪問者に対して嫌がらせを含めた何らかの不利益をもたらすことにあります。

影響として下記が考えられます。

・意図しない商品を購入させられる

・送金させられる、ネットショップのギフト券を送付させられる

・SNSで特定のアカウントをフォローさせられる、投稿させられる

・Adobe Flashを使ってWebカメラやマイクを作動させられる

・パソコンやSNSのアカウントが第三者への攻撃の踏み台にされる

対策

「X-FRAME-OPTIONS」の導入

サイトのHTTPレスポンスヘッダに「X-FRAME-OPTIONS」を追加することで、外部サイトからのフレームによるページの読み込みを制限できます。この方法はコードを1行追加するだけで実現でき、実効性も高いため、多くの大手サイトで採用されています。

重要な処理実行後に、登録済みメールアドレスに通知メールを送信する

ユーザに処理の確認を行うことで、早期発見効果を見込める。

ここまでです。
読んでいただきありがとうございました。