クリックジャッキングとRe:lationでの取り組み

Posted by INGAGE on 2020年7月15日 in ニュース

はじめに

Re:lationには、「Re:lationのタイムライン画面を外部システム上で表示する」機能があります。この機能を使えば、外部システムを利用する際にわざわざ新たにRe:lation用に独立した画面を発生させることなく、Re:lationを外部システムの画面の一部として表示・利用することができます。(この機能を利用するには、Re:lationにて特定のプランまたは有償オプションの申し込みが必要です。また、外部システムにてこの機能に対応する必要があります)

それぞれの画面を別々に表示

ひとつの画面で完結

この「Re:lationの特定の画面を外部システム上で表示する」ことは通常は禁止(行えない)としています。なぜかというと、不用意にこの機能を使うとクリックジャッキング攻撃を受ける可能性があるためです。

ここではそのクリックジャッキングおよびRe:lationでの取り組みについて説明します。

クリックジャッキングとは

クリックジャッキング(クリックジャッキング攻撃)とは、悪意のあるサイトにおいて、サイトの画面(Webページ)の上に別のサイトの画面を貼り付けることで、サイトを偽装してユーザに意図しないクリックなどのアクションを行わせることをいいます。これにより悪意のあるサイトは、そのPC上の情報を盗み出すためのプログラムを実行させたり、Webページに入力された情報を取得するといった攻撃を行います。

わかりやすく図で説明します。たとえばこの図のようなオンラインバンキングのWebサイトがあるとします。このサイトは正しいサイトで、いつもユーザーがID・パスワードを入力してログインを行っているサイトとします。

これに対して、悪意のある者が上記のサイトのID・パスワードを奪取しようと考えました。

そこで、下の図のように標的とするオンラインバンキングのID・パスワード入力エリアおよびログインボタンと同じ場所にそれぞれテキスト入力エリアとボタンを配置するWebページを作成します。このページに入力された情報は、ボタンがクリックされると悪意のある者に送られる仕組み(プログラム)も組み込みます。

そして、この悪意のあるサイトを正しいサイトの上に重ねて表示します。この際、悪意のあるサイトは透明にして重ねます。

このように見た目は正しいが、入力されたアクションは悪意のあるページに渡されるWebページを作成し、悪意ある動作(この場合IDとパスワードの取得)を行うことをクリックジャッキングと言います。

そのためクリックジャッキングの被害から守るために、ほとんどの(ちゃんとした)Webサイト・Webサービスは外部サイトにて画面が組み込まれないように設定をしています。

Re:lationでの取り組み

Re:lationも同様に、通常は外部システムにてRe:lationの画面を組み込むことはできないようにしています。そのため、この外部システムでの画面組み込みを有効にするためにはその旨設定を行う必要があります。

ただしその場合も単に有効・無効を切り替えるのではなく、画面組み込みを許可するサービスを指定して許可するようにしています。単に有効・無効だけであれば、有効とすることで意図しない(悪意のある)サイトがこの機能を悪用してしまう恐れがあるためです。

Re:lationではこのように外部サイト(外部システム・外部サービス)にてRe:lation画面を表示する際のセキュリティの懸念に取り組んでいます。この機能を有効にする(Re:lationタイムライン画面の組み込みを許可する)際は以上のことに留意して行うようにしてください。

外部システム内でRe:lationのタイムラインを呼び出すには

この記事は役に立ちましたか?