「表示されているボタンの上(手前)に透明なボタンを配置して、クリックした本人の意図とは別のボタンをクリックさせる。」
閲覧者・利用者のクリックを乗っ取る行為を「クリックジャック」または「クリックジャッキング」と呼ぶのだそうです。
まだ実際の犯罪に悪用された事例はほとんどなく、今後、悪用される危険性があるセキュリティー問題。
実際に想定できる犯罪悪用例は、投稿や投票、成果報酬型広告いわゆるアフィリエイトをクリックさせることです。
投稿や投票はあまりピンと来ませんが、アフィリエイトに関しては想像がつきますよね。よく似たページに誘導して購入させたり、クリックそのものに報奨金がついているような場合は、知らない間に詐欺の片棒を担いでいる状態になるわけです。
と、言うことで、個人サイトはともかく、大きな企業などのサイト運営側としては、自社のサイトのコンテンツや部品が他サイトの一部として勝手に組み込まれないように自衛する必要があるかもしれません。
現在、具体的な対策としてあげられているのは、サイト運営側としては、
<1.Javaスクリプトを使う>
<2.サイトの設定と利用者のブラウザーで連携する>
Javaを使用すれば、自社のサイトが別の場所で使用されているかを識別したり、そのような事態が発生していた場合に、コンテンツを表示できないようにすることもできます。
問題点としては、利用者側のブラウザーでJavaスクリプトが有効になっていないと機能しないという点。
サイトの設定と利用者のブラウザーで連携する方法は、現在はIE8でのみ対応という点がまず問題点なのですが、もしも自社のサイトが別のサイトに組み込まれていても、対応ブラウザーで閲覧したときに表示されない仕掛けです。
こうして見てみると、運営側が独自に行える対策には限界がありますね。
最終的には、利用者がセキュリティーをONにしていなければ、何の意味もないわけです。
運営サイトが自衛策に出るように、利用者も常に自衛しておかなければいけないですよね。
と、いうことで、最後に利用者サイドでできる対策を。
一部の攻撃に関しては、アドビの「Flash Player」をバージョンアップすることで防ぐことができます。ブラウザーの「Firefox」では、「NoScript」プラグインを使用することで、「細工された」コンテンツの読み込みをブロックできます。
OSや各ソフトのバージョンアップによって、ウィルスや悪意のある仕掛けは自分で情報を収集しなくても、防衛されていくという事実。
でも、そのたびにハードが圧迫されていく罠(^_^)
0 件のコメント:
コメントを投稿