クリックジャッキングとは?
クリックジャッキング攻撃 (さらに技術的な用語としては「UI Redress攻撃」) は、ユーザーのクリックまたはキー押下が攻撃者に「ハイジャック」されたときに発生します。 攻撃者は、ユーザーが移動しようとするサイトの上のフレームに、自分のサイト (不透明または透明) を置きます。 その状態でもユーザーには正しいサイトが表示され、外見上は害のないボタンまたはリンクをクリックするか、またはサイトのフィールドの1つに機密情報を入力します。すると、攻撃者は、不正な目的でそのクリックを使用するか、またはキー押下を追跡して、それらを別のアプリケーションまたはドメインに転送します。
Boxはどのようにしてクリックジャッキングを阻止していますか?
クリックジャッキング攻撃から防御するため、Boxは埋め込みウィジェットおよびX-Frame-Optionsヘッダー内に予防手段を採用しています。
Boxの埋め込みウィジェットは、インタラクティブな「クラウド (雲) をドラッグ」するゲームを使用します。そこでは、ページ上にランダムに置かれた白色の雲のパズルピースを、やはりページ上にランダムに置かれた雲の形状の「穴」に差し込む必要があります。 両方のオブジェクトはページ上にランダムに置かれているため、攻撃者はユーザーのクリック位置を簡単に予測できません。したがって、クリックジャッキング攻撃の有効性が低下し、またクリックジャッキング手段を使用する試行の価値も低下します。 このランダム化された操作は、埋め込まれたコンテンツに対するクリックジャッキング攻撃を防止する最も効果的な方法です。 雲をクリックして正しい位置にドラッグできる場合、ユーザーは、正しいサイトとやり取りを行っていることを確認できます。
Boxを使用しているパートナーが、クリックジャッキングを防止する方法を教えてください。
Boxは、パートナーが、ランダム化インタラクション (「クラウド (雲) をドラッグ」するゲーム) を含むBox埋め込みウィジェットを使用することを推奨しています。 しかし、パートナーによっては、埋め込みウィジェットを使用することを望まず、クラウドゲームインタラクションが含まれていないウィジェットの使用を望んでいることを承知しています。 Boxでは、Boxのセキュリティチームが承認したクリックジャッキング防御の1つを実装したパートナーに、クラウドゲームインタラクションのないオプションを提供しています。 クラウドゲームインタラクションを意図的に使用しないことを希望するパートナーは、プロセスを開始するにあたってBoxサポートに問い合わせる必要があります。
Boxが承認しているクリックジャッキング防御には、次のものがあります。
- X-Frame-Optionsヘッダーを使用する
- フレームコンテンツを新しいウィンドウに表示する
- ランダム化されたユーザーインタラクションを実装してから、アプリケーションへのアクセスを許可する
X-Frame-Optionsヘッダーは、サイトを<frame>タグまたは<iframe>タグ内に描画可能か指定することにより、クリックジャッキングの防止に使用される業界全体の標準です。 ブラウザのサポートと制限など、各種のX-Frame-Optionsヘッダータイプの具体的な詳細については、こちらの記事を参照してください。
Boxが自分のサイトで正しく表示されない、または空のフレームを取得してしまいます。どうすればよいですか?
自分のサイトでBoxを使用しようとして空のフレームが表示される場合、またはエラーページを取得する場合は、Box埋め込みウィジェットを使用してください。 埋め込みコードを取得するには、[共有] ボタンをクリックし、次に [共有] ウィンドウで [埋め込み] ボタンをクリックします。 [クリップボードにコピー] をクリックして埋め込みコードをコピーするか、またはウィンドウ内のフィールドから直接選択してコピーします。 Boxの埋め込みを使用するには、コードをhtmlエディターに貼り付けます。