Clickjackingについては過去に一度このblogでも取り上げています。

この攻撃はWebの欠陥を悪用し、2つのレイヤーから構成されるWebページを表示させ、ユーザを騙す手口です。ユーザは、表示されているレイヤーで操作を行っていると思いますが、実際には、表示されたレイヤーの上にある透過レイヤーで処理が行います。

blogで取り上げた時点では、具体的な被害は出ていませんでしたが、最近では今回の金融危機につけ込み、銀行の偽サイトを作成し、この手法を使って、銀行でローンが拒否されたユーザを惹きつけ、だましているようです。

IE(Internet Explorer）の対策の場合はこの対策機能が実装されたものの、開発者側にも実装が求められるものであるため、完全な意味での導入は何年かかかる可能性があります。お勧めはFireFox+NoScriptの組み合わせです。

誤って、透過型のリンクをクリックしても、このプログラムが警告を出してくれるすぐれものです。

怪しいサイトを訪ねる時はご一緒に。。

Tweet