パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト

↑↑↑今だけ!8月31日(土)までの期間限定 最大39%オフのキャンペーン実施中↑↑↑


IPA、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート

IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの恐れのある「クリックジャッキング」攻撃への対策状況に関する調査を行いました。その結果、ほとんどのウェブサイトで対策が行われていなかったため、「クリックジャッキング」の仕組みやその対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第17回)を作成、公開しました。

 「クリックジャッキング」は2008年にその脅威が周知された攻撃で、ユーザを視覚的にだまして正常に見えるウェブページ上のコンテンツを示し、実際は別のウェブページのコンテンツをクリックさせる攻撃のことです。操作した自覚がないにもかかわらず、SNSサイトなどウェブサイト上で非公開としていたプライバシー情報が公開設定に変更されてしまうなど、情報漏えいの原因の一つとなっています。既に主要なブラウザでは対策が進められていますが、この攻撃への対策はブラウザだけではなくウェブサイトにおいても実施する必要があります。

 そこで、IPAは2013年の2月から3月にかけて、「クリックジャッキング」攻撃の対策が浸透しているかどうかを、ログイン機能を持ちウェブサイト上でユーザ情報の変更等ができるウェブサイト56件を抽出し調査しました。その結果、対策済みだったのは 3サイトで、残り53サイトでは未対策(*1)であることが判りました。本調査では、「クリックジャッキング」攻撃の根本的な対策の一つであるX-FRAME-OPTIONSヘッダを付与していない(*2)ことを未対策の判断基準としています。この対策が進んでない理由として、その仕組みや対策方法が理解されていないことにあるとIPAでは推測しています。

 このため、IPAは「クリックジャッキング」攻撃への対策が進むよう、その仕組みおよび対策について解説したレポートを公表することにしました。本レポートの対象読者は、ウェブサイトの構築や運営に携わる技術者を想定しています。

 本資料が「クリックジャッキング」の理解と対策方針の参考のために活用されることを期待します。

レポートのダウンロード
『クリックジャッキング』に関するレポート (PDFファイル 594KB)
http://www.ipa.go.jp/about/technicalwatch/pdf/130326report.pdf

【ニュースソース】IPA
http://www.ipa.go.jp/about/technicalwatch/20130326.html