[ 通常表示 ]  [ 簡易表示 ]  [ シンプル表示 ]

「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典イメージぴよ画像「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

クリックジャッキング (clickjacking)

pointこの用語のポイント

pointコンピュータを使った悪いことだよ

pointホームページに仕掛けをしておくよ

point本人が意図していないところをクリックさせるよ

pointクリックをきっかけにして、設定を勝手に変えたり、あれやこれやの悪さをするよ

スポンサーリンク

簡単に書くよ

クリックジャッキング (clickjacking)とは

ホームページに変な仕掛けをしておいて、ホームページを見た人にクリック位置を誤認させることで変なところをクリックさせて、そのクリックをきっかけにして設定とかを勝手に変えてやるぜ!な攻撃のこと
です。

image piyo

詳しく書くよ

実際には違いますが、イメージは「クリック」+「ジャッキング」で「クリックジャッキング」です。

クリックジャッキング

クリックはマウスのボタンを「ぽちっ」っと押すことね。

クリックジャッキング2

ジャッキングは、ここでは「乗っ取り」と解釈してください。
英語の「ハイジャック」を省略して「ジャック」それを現在進行形にした「ジャッキング」でしょう。

クリックジャッキング3

単純にくっつけると

マウスのボタンを「ぽちっ」としたときの動作を乗っ取る攻撃

となります。

実際には、ホームページ上の本人が意図していないところをクリックさせるのがクリックジャッキングです。

本人が意図していないところをクリックさせることで、クリックしたときの動作が本人の意図したものとは変わります。
悪い人が意図した動作が実行されてしまいます。
これは「クリックしたときの動作を乗っ取った」と言えるでしょう。

どうでもいい注意点として「click jacking(クリック・ジャッキング)」ではありません。
「clickjacking(クリックジャッキング)」です。

英語の「jack」の意味を調べると「乗っ取り」のような意味はないのですね。
諸説はあるようですが、おっちょこちょいの日本人が「ハイジャック」を

「ハイ(high:高い)」+「ジャック(乗っ取り)」 = 飛行機の乗っ取り

と解釈してしまい、それが元で「バスジャック」や「シージャック」のような用語が生まれたようです。

「クリックジャッキング」も、それと同じイメージです。
「クリックを乗っ取る」的な意図で「クリックジャッキング」という名前を付けたのだと思います。

そんな、どうでもいいウンチクを披露したところで、クリックジャッキングの例を見てみましょう。

例えば、そうですね。

貧乏人のピヨ太君がホームページを作りました。
ホームページには「ピヨ太に100万円振り込む」ボタンが付いています。
このボタンをポチっと押すと、不思議な力によって、ポチっと押した人の貯金から100万円がピヨ太君に振り込まれます。

クリックジャッキング4

みんながポチポチしてくれたら、ピヨ太君はお金持ちですね。
とはいえ、普通に考えれば誰も押してくれないでしょう。

そこでピヨ太君は妙案を考えました。

まず「ピヨ太に100万円振り込む」ボタンが付いているページを透明にします。
「『ピヨ太に100万円振り込む』ボタンが付いているページ」と書くのは長ったらしいので、以降、このページは「振り込みページ」と呼びます。

ピヨ太君は「振り込みページ」を透明にしました。

クリックジャッキング5

次に「ケーキをあげるよ。欲しい人は押してね」ボタンを付けたページを用意します。
このページも「ケーキあげるよページ」と呼びます。

ピヨ太君は「ケーキあげるよページ」を用意しました。
「ケーキあげるよページ」は、おとりページです。
獲物をおびき寄せるためのページです。

クリックジャッキング6

これでピヨ太君の手元には

1.透明にした振り込みページ
2.ケーキあげるよページ


の2つがあります。

ピヨ太君は、ボタンの位置が重なるように気を付けながら「ケーキあげるよページ」の上に「透明にした振り込みページ」を重ねました。

クリックジャッキング7

そして、このページを公開しました。

クリックジャッキング8

おっと、ピヨ子さんが公開されたページを見つけたようです。
このとき、ピヨ子さんに見えているのは「ケーキあげるよページ」です。
「透明にした振り込みページ」は見えていません。

クリックジャッキング9

ピヨ子さんはケーキが大好きです。
早速「ケーキあげるよページ」の「ケーキをあげるよ。欲しい人は押してね」ボタンを押しました。

クリックジャッキング10

……が、残念でした。

実際に押されたのは「ケーキあげるよページ」の上に重ねられた「透明にした振り込みページ」の「ピヨ太に100万円振り込む」ボタンです。

クリックジャッキング11

不思議な力でピヨ子さんの貯金から100万円がピヨ太君に振り込まれました。
なんてこったいっ。

クリックジャッキング12

ピヨ子さんは「ケーキをあげるよ。欲しい人は押してね」ボタンを押したつもりです。
ですが、実際には「ピヨ太に100万円振り込む」ボタンが押されました。

クリックジャッキング13

このように、ホームページを見た人が「よーし!ここをポチッと押すぞ~!」と思って押したところとは別のところが押されるようにする悪いことがクリックジャッキングです。
実際にポチっと押されるところには、コンピュータの設定を変えるような指示だったり、変なプログラムを動かすような指示だったり、悪い人が喜びそうな指示が書いてあります。

ちょっと小難しい表現を使うと

クリック位置を誤認させることで任意の場所をクリックさせ、特定の動作を実行させる行為

がクリックジャッキングです。

image piyo2

一言でまとめるよ

まぁ「クリックジャッキング」って単語が出てきたら「ホームページに仕掛けをする→クリック位置を誤認させて変な場所をクリックさせる→クリックをきっかけにして設定とかを勝手に変える、な攻撃なんだな~」と、お考えください。

一番上に戻るよ
スポンサーリンク