利用者側でクリックジャッキングを防ぐ方法はありますか？

利用者側でできる対策は限られますが、いくつかあります。出所の不明な怪しいサイトでむやみにクリックしないこと、OSとブラウザを最新に保つこと、信頼できるセキュリティソフトを導入することです。ただし、クリックジャッキングは正規サイトを悪用するため、利用者の注意だけで完全に防ぐのは困難です。根本的な対策はサイト運営者側がX-Frame-Optionsなどを設定することなので、利用するサービスがセキュリティ対策をしっかり行っているかも一つの判断材料になります。

X-Frame-Optionsとは何ですか？

X-Frame-Optionsは、WebサイトがHTTPレスポンスヘッダーに設定する指示で、そのページを他サイトのiframeやframe内で表示することを禁止できます。「DENY」ならどのサイトからも埋め込み不可、「SAMEORIGIN」なら同一サイト内のみ許可となります。これを設定すると、攻撃者が自分のページに正規サイトをiframeで埋め込むことができなくなるため、クリックジャッキングを根本から防げます。2015年時点で主要ブラウザはすべて対応しており、より新しいCSPのframe-ancestorsも同様の機能を持ちます。

JavaScriptを無効にすれば防げますか？

完全には防げません。クリックジャッキングはCSS（スタイルシート）のみでも仕掛けることが可能なため、JavaScriptやFlashを無効化するだけでは対策として不十分です。また、JavaScriptを無効にすると多くのWebサイトが正常に表示・動作しなくなるため、実用的でもありません。利用者側の小手先の対策に頼るのではなく、サイト運営者側がX-Frame-OptionsやCSPを適切に設定することが、クリックジャッキングへの確実な対策となります。

クリックジャッキングとフィッシングの違いは何ですか？

だます仕組みが異なります。フィッシングは偽サイトに誘導し、ユーザー自身に情報を「入力させる」手口です。クリックジャッキングは正規サイトを透明なフレームで悪用し、ユーザーに意図しない操作を「実行させる」手口で、情報入力ではなく操作のすり替えが目的です。フィッシングは「偽物を本物と思わせる」攻撃、クリックジャッキングは「本物の操作を別の操作にすり替える」攻撃という違いがあります。どちらもユーザーの錯覚を利用する点は共通です。

クリックジャッキングとは？透明な罠で操作をすり替える攻撃

クリックジャッキングとは？ざっくりと3行で

クリックジャッキングとは、Webページ上に透明なボタンやリンクを重ねて、ユーザーが意図しない操作（送金・フォロー・設定変更など）を実行するよう誘導するサイバー攻撃のことだ。
ユーザーは見えているボタンを押したつもりでも、その上に透明化された別のボタンが重ねられているため、実際には送金や認証許可など全く別の操作を自分の手で実行させられてしまう。
仕組みを知っておけば、サイト側のX-Frame-Options設定や重要操作での再認証といった対策が打て、見えない罠による不正操作を防げる。

【深掘り】これだけは知っておけ
1. クリックジャッキングで悪用される操作
典型的なフレーズ・文脈
困ったときの相談窓口
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
この手口が実際に使われた事件

【深掘り】これだけは知っておけ

クリックジャッキングのこわさは、ユーザー本人が自分の意思でクリックしているのに、その行動の意味がすり替えられている点です。「動画を再生」したつもりが「送金」していた、という事態が起こり得ます。

クリックジャッキング（Clickjacking）は、Webページ上に透明または目に見えないボタンやリンクを重ね、ユーザーに意図しない操作をさせるサイバー攻撃です。この表現は、Jeremiah GrossmanとRobert Hansenが2008年に造語したものです。攻撃の多くはiframe（インラインフレーム）を悪用します。攻撃者は自分のページの中に正規のWebサイトをiframeで埋め込み、その透明度を0にして見えない状態にします。ユーザーが表示されているボタン（例：「動画を再生」）をクリックすると、実際には透明なiframe内の別のボタン（例：「送金確定」「フォロー」「設定変更」）が押されてしまいます。

悪用される操作は多岐にわたります。SNSで知らない誰かを勝手にフォローさせる、プロフィールやプライバシー設定を変更させる、不正な購入手続きを完了させる、銀行口座から送金させる、カメラやマイクへのアクセス許可を与えさせる、などです。例えば無害に見えるページのボタンの上にTwitterの「フォロー」ボタンが重ねられていると、ユーザーは意図せず特定アカウントをフォローしてしまいます。クリックジャッキングはCSSのみでも仕掛けられるため、JavaScriptやFlashを無効化するだけでは完全には防げません。被害は個人だけでなく、業務用アカウントや企業システムにまで広がる可能性があり、影響が深刻化することもあります。

クリックジャッキングは主にサイト運営者側の対策が重要です。WebサイトのHTTPレスポンスヘッダーにX-Frame-Optionsを設定すると、他サイトからのiframe埋め込みを拒否でき、攻撃を防げます。Content Security Policy（CSP）の設定も有効です。重要な操作には再認証を求める設計も効果的です。

サイト運営者の対策として、X-Frame-Optionsヘッダーを設定して外部サイトからのiframe埋め込みを拒否すること。Content Security Policy（CSP）のframe-ancestorsディレクティブで信頼できるサイトのみiframeを許可すること。送金やパスワード変更など重要な操作には、再度パスワード入力を求めること。マウス操作だけで完了せず、キーボード操作を要求する仕組みを入れること。2015年時点で主要なブラウザはすべてX-Frame-Optionsに対応しています。利用者側の対策は限られますが、不審なサイトでのクリックを避け、OSとブラウザを最新に保つことが基本です。クリックジャッキングは「見えない操作のすり替え」であるため、サイト側がフレーム埋め込みを防ぐことが最も根本的な防御になります。

クリックジャッキングで悪用される操作

悪用される操作	被害の例	対策
送金・購入手続き	意図しない送金・課金	重要操作での再認証
SNSのフォロー・投稿	勝手なフォロー・拡散	X-Frame-Options設定
権限の許可	カメラ・マイクへのアクセス許可	CSPでiframe制限

典型的なフレーズ・文脈

透明なボタンを重ねて不正操作を誘導するクリックジャッキング攻撃者のイラストアイコン

詐欺師

（攻撃ページ作成中）「無料動画再生」ボタンの真上に、透明にした送金確認ページのiframeを重ねる。透明度0だから利用者には見えない。再生ボタンを押した瞬間、裏で送金が確定する。気づかれずに資金を抜ける。

透明化したiframeを正規ページのボタンに重ね、ユーザーが意図しない操作を実行するよう仕向けるクリックジャッキングの典型的な手口です。

キャスター

セキュリティ専門家は、透明なボタンを重ねて意図しない操作をさせるクリックジャッキングについて、サイト運営者はX-Frame-Optionsの設定で外部サイトからの埋め込みを防ぐべきだと注意を促しています。

クリックジャッキングの仕組みと対策を解説する報道番組のキャスターを想定した表現です。

X-Frame-Optionsの設定を助言するWebセキュリティエンジニアのイラストアイコン

専門家

サイト運営者はX-Frame-OptionsやCSPで外部からのiframe埋め込みを防いでください。送金など重要操作には再認証を。利用者は不審なサイトでのクリックを避けることが大切です。被害は#9110へ。

Webセキュリティエンジニアが、クリックジャッキングへのサイト側対策を助言する場面を想定しています。

困ったときの相談窓口

クリックジャッキングによる被害が疑われる場合は、以下の窓口に相談できます。

窓口名	電話番号	受付時間	対応内容
IPA安心相談窓口	03-5978-7509	平日 10:00〜12:00、13:30〜17:00	サイバー攻撃・不正操作の相談
警察相談専用電話	#9110	平日 8:30〜17:15（各都道府県で異なる）	不正操作・詐欺被害の相談
JPCERT/CC	Webフォームのみ（https://www.jpcert.or.jp/）	24時間受付（Webフォーム）	Webサイトのインシデント報告

【まとめ】3つのポイント

正体は透明な要素を重ねる操作すり替え：見えているボタンの裏に別のボタンを重ね、意図しない操作を実行させます。
自分の意思でクリックさせられる：本人がクリックするため、送金やフォローなどが本人の操作として成立してしまいます。
サイト側のX-Frame-Options設定が要：iframe埋め込みを防ぎ、重要操作には再認証を求めることが根本的な防御です。

よくある質問

Q 利用者側でクリックジャッキングを防ぐ方法はありますか？: A

利用者側でできる対策は限られますが、いくつかあります。出所の不明な怪しいサイトでむやみにクリックしないこと、OSとブラウザを最新に保つこと、信頼できるセキュリティソフトを導入することです。ただし、クリックジャッキングは正規サイトを悪用するため、利用者の注意だけで完全に防ぐのは困難です。根本的な対策はサイト運営者側がX-Frame-Optionsなどを設定することなので、利用するサービスがセキュリティ対策をしっかり行っているかも一つの判断材料になります。

Q X-Frame-Optionsとは何ですか？: A

X-Frame-Optionsは、WebサイトがHTTPレスポンスヘッダーに設定する指示で、そのページを他サイトのiframeやframe内で表示することを禁止できます。「DENY」ならどのサイトからも埋め込み不可、「SAMEORIGIN」なら同一サイト内のみ許可となります。これを設定すると、攻撃者が自分のページに正規サイトをiframeで埋め込むことができなくなるため、クリックジャッキングを根本から防げます。2015年時点で主要ブラウザはすべて対応しており、より新しいCSPのframe-ancestorsも同様の機能を持ちます。

Q JavaScriptを無効にすれば防げますか？: A

完全には防げません。クリックジャッキングはCSS（スタイルシート）のみでも仕掛けることが可能なため、JavaScriptやFlashを無効化するだけでは対策として不十分です。また、JavaScriptを無効にすると多くのWebサイトが正常に表示・動作しなくなるため、実用的でもありません。利用者側の小手先の対策に頼るのではなく、サイト運営者側がX-Frame-OptionsやCSPを適切に設定することが、クリックジャッキングへの確実な対策となります。

Q クリックジャッキングとフィッシングの違いは何ですか？: A

だます仕組みが異なります。フィッシングは偽サイトに誘導し、ユーザー自身に情報を「入力させる」手口です。クリックジャッキングは正規サイトを透明なフレームで悪用し、ユーザーに意図しない操作を「実行させる」手口で、情報入力ではなく操作のすり替えが目的です。フィッシングは「偽物を本物と思わせる」攻撃、クリックジャッキングは「本物の操作を別の操作にすり替える」攻撃という違いがあります。どちらもユーザーの錯覚を利用する点は共通です。

この用語と一緒に知っておきたい用語

用語	この記事との関連
ブリッジハック	ブリッジハックとは、異なるブロックチェーン同士をつなぐ「クロスチェーンブリッジ」を狙った攻撃で、ブリッジに預けられた巨額の暗号資産が一度に流出する事件のことだ。
生体認証スプーフィング	生体認証スプーフィングとは、顔・指紋・虹彩などの生体情報を写真・3Dマスク・ディープフェイク動画・偽造指紋などで再現し、本人になりすまして生体認証を突破する攻撃のことだ。
ダークウェブ	ダークウェブとは、通常の検索エンジンには表示されず、Torなどの専用ソフトでしかアクセスできない匿名性の高いウェブ空間のことだ。
ビジネスメール詐欺	ビジネスメール詐欺（BEC）とは、取引先や自社のCEOになりすました偽メールで、振込先口座の変更を指示するなどして企業の担当者に犯人の口座へ送金させる詐欺のことだ。

この手口が実際に使われた事件

事件	この記事との関連
ホテル従業員のカード不正利用	ホテルのインサイダー詐欺とは、コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する内部犯行である
ケビン・ミトニック	ケビン・ミトニックはソーシャルエンジニアリング（人間の心理を利用した情報窃取）を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである
オレオレ詐欺のリーダー格	オレオレ詐欺の組織は主犯格を頂点としたピラミッド構造で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い