クリックジャッキング対策が施されたブラウザを使用しています。
ただし、お使いのブラウザであれば、どのサイトを閲覧してもクリックジャッキングの心配をしなくてもよいというわけではありません。
今ご覧のこのサイトは「そういった対策が施されたブラウザであれば、クリックジャッキングを防止するように」と、このサイトから指示を出しています。
つまり、使用しているブラウザが対策済なだけでは意味がなく、閲覧先のサイト側でも防止するような設定をしていて、はじめてクリックジャッキングの心配をせすにブラウジングすることができるのです。
では、そういった安全なサイトは全体でどのくらいあるのでしょうか?
IPA調べでは、そういった設定をおこなってクリックジャッキングの防止策をおこなっているサイトは、このサイトも含めて、まだ全体の5%強しかありません。
このようにクリックジャッキングは、利用者側からだけでは防げないため、なかなか抜本的な対策が進まない、恐ろしい不正技術のひとつです。
既存の不正技術で、同じく利用者側からだけでは防げないクロスサイトスクリプティングという有名な攻撃方法があります。
これはセキュリティ対策が不十分なサイトのおよそ88%に攻撃の有効性が報告されています(2012年第3四半期 ソフトウェア等の脆弱性関連情報に関する届出状況
)。
裏を返せばクロスサイトスクリプティングの防止策をおこなっているサイトは12%しかないことになります。
そして、クリックジャッキングはそれよりも更に低い、5%強のサイトしか防止策がとられていないということになります。
サイト管理者側でとらなければならない脆弱性対策がいかに遅れているか、その一端をご理解いただけるかと思います。
以下では、サイト管理者向けの防止策の取り方をご紹介します。
ご覧になっている方がサイトの管理者でいらっしゃるなら、ぜひ対策をおこなって、利用者の安全性向上に努めてください。
ちなみに、動画でご紹介しているような、クリックジャッキング対策が施されていないサイトやブラウザの場合の挙動を実際に確認してみたい方は、コチラからご確認ください(挙動をシミュレートしているだけなので、実害はありません)。
