Webの標準技術であるHTMLを悪用したもので、この攻撃を受けるとユーザはWebページ上のボタンを気付かないうちにクリックさせられてしまい、その振る舞いをクラッカにコントロールされてしまいます。クリックジャック攻撃などとも呼ばれます。
Webページの標準記述言語としてHTMLがありますが、攻撃のために、あるページに他のサイトのページを表示させるためのタグである「iframe」が利用されるようです。
即ち、自分の管理するページに攻撃対象のページ(ネットショップなど)を読み込み、それを透明にして、クリックさせたいボタンなどを拡大させたり自分の方のページに配置させたりして、利用者に気づかれないようにクリックさせてしまうというような攻撃です。
Webの標準技術を利用する攻撃として「フィッシング詐欺」が知られていますが、それよりも見つけにくいとのことです。
有力な防御策は確立していないようですが、現時点で最善とされている策は、他のサーバから読み込み要求が届いた時に、許可するか否かを識別できるようにWebサーバで特殊な文字列を追加しておき、利用者端末のブラウザ上で文字列に応じた処理を行う、という方法のようです。InternetExplorerの最新版やFirefoxなどのブラウザではそのような処理が可能となっているようです。
Webページの標準記述言語としてHTMLがありますが、攻撃のために、あるページに他のサイトのページを表示させるためのタグである「iframe」が利用されるようです。
即ち、自分の管理するページに攻撃対象のページ(ネットショップなど)を読み込み、それを透明にして、クリックさせたいボタンなどを拡大させたり自分の方のページに配置させたりして、利用者に気づかれないようにクリックさせてしまうというような攻撃です。
Webの標準技術を利用する攻撃として「フィッシング詐欺」が知られていますが、それよりも見つけにくいとのことです。
有力な防御策は確立していないようですが、現時点で最善とされている策は、他のサーバから読み込み要求が届いた時に、許可するか否かを識別できるようにWebサーバで特殊な文字列を追加しておき、利用者端末のブラウザ上で文字列に応じた処理を行う、という方法のようです。InternetExplorerの最新版やFirefoxなどのブラウザではそのような処理が可能となっているようです。
