最終更新日:2026年5月20日
sg threat_vulnerability unauthorized_access web_security sg-security-overview
まず結論
- クリックジャッキングとは、見えない(透明な)画面を重ねて、利用者に意図しないクリック操作をさせる攻撃です
- SG試験では「ユーザの操作をだまして実行させる攻撃か」を見抜けるかがポイントになります
直感的な説明
たとえば、普通のボタンを押したつもりなのに、
実はその裏に「別の危険なボタン」が隠れていたらどうでしょうか。
- 見えている → 安全そうなボタン
- 実際に押している → 不正な操作(設定変更・送金など)
このように、見た目と実際の操作をズラす攻撃がクリックジャッキングです。
定義・仕組み
クリックジャッキングは、Webページの表示の仕組み(特に iframe)を悪用します。
基本の流れ
- 攻撃者が正規サイトの上に透明なページを重ねる
- 利用者は正規ページを操作しているつもりでクリック
- 実際には透明ページのボタンが押される
- 意図しない操作(設定変更・情報送信など)が実行される
ポイント
- 「ユーザが自分で操作してしまう」点が特徴
- マルウェア感染とは違い、利用者の操作を利用する攻撃
どんな場面で使う?
よくある場面
- SNSの「いいね」や「フォロー」を勝手に押させる
- 管理画面の設定変更(例:権限付与)
- Webサービスの操作(送信・承認など)
業務での注意点(SG視点)
- Web管理画面(クラウド・社内システム)
- ブラウザで操作する設定変更系の画面
→ クリックだけで重要操作ができる設計はリスク - 管理画面は再認証・確認ダイアログを組み合わせる
- 重要操作は「見た目の誘導」だけで完了しない設計にする
よくある誤解・混同
❌ フィッシングと同じ
→ ⭕ フィッシングは「偽サイトに誘導」、クリックジャッキングは「正規画面上で操作をだます」
❌ タブナビングと同じ
→ ⭕ タブナビングは「非アクティブタブを偽ログイン画面へすり替える」攻撃。クリックジャッキングは「透明に重ねた別ページを操作させる」攻撃
❌ HTTPレスポンス分割攻撃と同じ
→ ⭕ HTTPレスポンス分割攻撃は、レスポンスを分割してキャッシュ偽装などを狙う攻撃で、クリック誘導とは軸が異なる
❌ マルウェアが必要
→ ⭕ 不要。ブラウザ上の表示だけで成立する攻撃
❌ ユーザが操作していない
→ ⭕ ユーザ自身がクリックしてしまうのが特徴
対策を問う選択肢での判断軸
X-Frame-OptionsやCSP frame-ancestorsはクリックジャッキング対策- 入力値検証やSQLエスケープはSQLインジェクション対策であり、主対策は別
SG試験でのひっかけポイント
- 「利用者が気づかず操作させられる」→クリックジャッキング
- 「偽サイトに誘導される」→フィッシング
- 「DNSを書き換える」→DNSキャッシュポイズニング
👉 “どこでだまされているか”で切り分けるのがコツ
確認問題(SG試験対策)
次のうち、クリックジャッキングの説明として最も適切なものはどれか。
- ア. Webアプリケーションの脆弱性を悪用し、Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって、利用者のブラウザのキャッシュを偽造する。
- イ. WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し、WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
- ウ. Webブラウザのタブ表示機能を利用し、Webブラウザの非活性なタブの中身を、利用者が気づかないうちに偽ログインページに書き換えて、それを操作させる。
- エ. 利用者のWebブラウザの設定を変更することによって、利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:HTTPレスポンス分割攻撃の説明です。
- イ:クリックジャッキングの説明です。透明に重ねた別ページを利用者に操作させます。
- ウ:タブナビング(Tabnabbing)攻撃の説明です。
- エ:スパイウェアの挙動として説明される内容です。
👉 判断ポイント クリックジャッキングは「透明な重ね合わせで、見せかけの操作をさせるか」で判断する。
まとめ(試験直前用)
- クリックジャッキング=透明画面でクリック操作をだます攻撃
- 利用者の操作を利用する(マルウェア不要)
- フィッシングとの違いは「サイト誘導か/操作誘導か」
- 「正規画面上で意図しない操作」ならこれを疑う
👉 判断基準:
見えている画面と、実際の操作がズレているか?