【実務・中級編】X-Frame-Options によるクリックジャッキング対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

クリックジャッキングの脅威と、現場で「絶対に事故らない」ための防御作戦

やあ。今日も本番環境のログとにらめっこ、お疲れ様。
開発者や運用担当者から「セキュリティは大事だよね」という言葉を聞くたびに、僕は少し複雑な気分になる。彼らは往々にして「SQLインジェクション」や「XSS」には敏感だが、「クリックジャッキング(Clickjacking)」という地味だが極めて悪質な攻撃に対しては、驚くほど無防備なケースが多いからだ。

「うちのサイト、ログイン画面しかないから大丈夫だよ」なんて油断しているなら、今すぐ考えを改めたほうがいい。攻撃者は君たちが丹精込めて作ったUIの裏側で、ユーザーを罠に嵌める準備をしているかもしれないのだから。

1. なぜ「透明な罠」は防げないのか?

クリックジャッキングの仕組みは非常にシンプルだ。攻撃者は悪意のあるサイトを作成し、そこに君たちのサイトを `