1. ～ １クリックの後悔～
※本稿の内容を管理下ではない環境に対して
実施しないでください。

2. 自己紹介
Twitter: abend
Webセキュリティをメインでやってます。
本が出てます。

3. クリックジャッキングって
見た目上、無害に見せかけてた罠サイトに利用者を誘導
し、利用者が意図しない操作を正規サイトに対して実行
させる攻撃手法。
Robert Hansen & Jeremiah Grossmanに2008年にOWASP
で発表された。
IPA
http://www.ipa.go.jp/about/technicalwatch/20130326.html

4. StyleSheetを用いて正規サイトを透過させるため、見た目
では無害な罠サイトであると誤認識させて、利用者が正
規サイトで意図せず処理を実行してしまう。
罠サイト
クリックジャッキングって
罠ボタン
正規サイト
ボタン
正規サイトは
全く見えない
状態にする。

5. じゃあ、やってみる
＜クリックジャッキングに必要なもの＞
・攻撃対象サイト
・罠サイト
・攻撃者
・被害者
・被害者が利用するブラウザ

6. 攻撃対象サイトの用意
脆弱性検証用に作成したショッピングサイトをターゲッ
ト。
会員制のショッピングサイトで、認証済みの利用者が商
品を購入可能なサイト。

7. 罠サイトの用意
ネタを仕込み済みの罠サイトを使用。

8. 罠サイトの中身
罠サイトでは２つのことをしています。
・ 埋め込まれたサイトのstyle属性を変更し、見えないようにする。
・ iframeを用いて、攻撃対象サイトを罠サイトに埋め込む。

9. 罠サイトの中身
変更しているstyle属性は、以下の通り。
filter:alpha(opacity=0);
opacity: 0.0;
-moz-opacity: 0.0;
→IE6
→ほとんどのブラウザ
→古いFirefoxやNetscape
とりあえず、いろいろ仕込んでおけば、多くのブラ
ウザで有効化(見えなくなる)される。

10. 罠サイトの中身
スケスケ度３０%に設定
ああっ。

11. ２クリックが紡ぐ新たなストー
リー
通常の退会処理手順

12. ログイン済みのユーザを誘導して・・・。
２クリックが紡ぐ新たなストー
リー

13. ２クリックが紡ぐ新たなストー
リー

14. ２クリックが紡ぐ新たなストー
リー

15. たとえば、「いいね」ボタンを押させるなど・・・
１クリックの後悔
アダルトサイトで「いいね」を連呼させられるな
ど・・・
攻撃対象サイト 罠サイト（スケスケ度３
０%）

16. どう守る？
サーバ側とユーザ側で対策を行う必要がある。
サーバ側
ユーザ側
守りたいサイトがiframeで表示できないようにX-FRAME-OPTIONS
ヘッダを埋め込む。
X-FRAME-OPTIONSヘッダを認識するブラウザを使用する。

17. どう守る？
攻撃対象サイトの対策実施前
HTTP/1.1 200 OK
Date: Sat, 06 Jul 2013 07:51:54 GMT
Set-Cookie: JSESSIONID=01081CAB2A51C5D0B2317A80B400E79E;
Path=/WithUS/; HttpOnly
Set-Cookie: cart=""; Path=/
Content-Type: text/html;charset=utf-8
Connection: close
Content-Length: 12802

18. どう守る？
攻撃対象サイトの対策実施後
HTTP/1.1 200 OK
Date: Sat, 06 Jul 2013 08:27:45 GMT
X-FRAME-OPTIONS: DENY
Set-Cookie: JSESSIONID=7C1504026774FBB9AB462F66D060251B; Path=/;
HttpOnly
Content-Type: text/html;charset=utf-8
Connection: close
Content-Length: 12802
DENY
サイト側の意図に関わらず、ページをフレーム内に表示することはできません。
SAMEORIGIN
自身と生成元が同じフレーム内に限り、ページを表示することができます。ALLOW-
FROM uri
指定された生成元に限り、ページをフレーム内に表示できます。
オプション内容

19. ユーザ側は、古いブラウザを使わないってのが一番の対策。
以下、記載よりも新しければOK。（リリース時期）
どう守る？
IE８．０（２００９年３月）
Safari４．０（２００９年６月）
Chrome４．１．２４９．１０４２（２０１０年４月）
Firefox３．６．９（２０１０年９月）
Opera１０．５（２０１０年１０月）
ちゃんとアップデートしましょう。

20. ブラウザでも動作の止め方が異なります。
以下は、スケスケ度３０%でのブラウザごとの挙動。
どう守る？
IE Chrome、Firefox、Opera
IEの場合、エラーメッセージ表示される。それ以外のブラウザは、
特に何もなし。この点においては、IEの方が親切。

21. Chrome、Firefox、OperaもIE同様エラーメッセージを表示するよう
にしてほしい。クリックジャッキングのリスクはないにしても、被
害者にアクセスしているサイトが罠サイトであると気づいてもらえ
るようにした方がいいと思う。
いろいろと。
＜ブラウザに関して＞
サーバアプリは、デフォルトでX-FRAME-OPTIONS（値：DENY）を
セットするようにしてほしい。クライアントが最新ブラウザ使っても
サーバで何もしていなければ意味がないので。
＜サーバに関して＞

22. 追加情報だよ。
http://www.sophos.com/ja-jp/press-office/press-releases/2013/06/ns-anatomy-of-
a-browser-trick.aspx
SOPHOSから新手のクリックジャッキングの手法に関してのレポート
が２０１３年６月２９日に出てました。
不正なファイルを実行させるための方法で、EXEをダウンロードさせ、
CHAPCHAなどを用いて「E」を入力させることで実行させるというも
のです。
ブラウザの種類によって挙動が異なるため、有効性は不明。対策は前
述のとおり。