技術メモ-クリックジャッキング対策- X-FRAME-OPTIONSについて

Similar documents
ポップアップブロックの設定

ポップアップブロックの設定

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

2.2 Reflected XSS 攻撃攻撃者の用意した悪意のあるリンクとターゲットサーバが同じホストである場合の Reflected XSS 攻撃を, 本稿では Reflected XSS 攻撃と呼ぶ. 例えば, サーバ A の target.php に Reflected XSS 脆弱性があった

Windows Server 2003 におけるPrint Manager V6.0L10の留意事項

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

証明書インポート用Webページ

OmniTrust

証明書インポート用Webページ

各種パスワードについて マイナンバー管理票では 3 種のパスワードを使用します (1) 読み取りパスワード Excel 機能の読み取りパスワードです 任意に設定可能です (2) 管理者パスワード マイナンバー管理表 の管理者のパスワードです 管理者パスワード はパスワードの流出を防ぐ目的で この操作

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

BACREX-R クライアント利用者用ドキュメント

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

Ver1.70 証明書発行マニュアル パスワード設定版 Windows 7 InternetExplorer 2018 年 3 月 14 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights Reserved i

Ver1.40 証明書発行マニュアル (Export 可能 ) Windows 10 InternetExplorer 2018 年 3 月 14 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights Reserve

画面表示に関する主要な事例について <IE11 の場合 > 1.Internet Explorer のアドオンを確認する ( よくあるご質問 1.1 の 1.1 の Step3 ~ Step5) 特定のアドオンが AnserBizSOL のログインや業務実施の阻害要因となっている可能性があります 以

PALNETSC0184_操作編(1-基本)

<4D F736F F D CC2906C A90848FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

ご利用のブラウザのバージョンによっては 若干項目名が異なる場合があります 予めご了承ください Windows をお使いの場合 [ 表示 ] [ エンコード ] [ 日本語 ( 自動選択 )] を選択 [ 表示 ] [ エンコード ] [Unicode(UTF-8)] を選択 Firefox をご利用

Ver.60 改版履歴 版数 日付 内容 担当 V /7/8 初版発行 STS V..0 04// Windows 8. の追加 STS V..0 05//5 Windows XP の削除 STS V.30 05/8/3 体裁の調整 STS V.40 05//9 Windows0 の追加

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

目次 5. よくある質問とその答え 会員登録関連 質問 会員登録をしましたが 認証 E メールが届きません 質問 退会したいのですが ログイン関連 質問 正しいメールアドレスやパスワードを入力しても

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

flashplayer確認手順_ xls

1 Ver デジタル証明書の更新手順 1 S T E P 1 netnaccs 専用デジタル ( クライアント ) 証明書 の更新作業を開始する前に 次の準備を行って下さい (1) お使いになるパソコンのブラウザのバージョンを確認して下さい ( デジタル証明書の取得等は 必ず Inte

2006

目次 1. 会員登録 推奨動作環境 サイト閲覧環境 シミュレーション動作環境 各種設定について メールアドレスおよびニックネームの登録 個人情報の取り扱い

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

一般社団法人日本内部監査協会

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

目次 1. はじめに ご利用条件 証明書配付システムの停止時間 実施手順 電子証明書の取得手順 Windows 証明書ストアへの電子証明書インポート手順 電子証明書インポート完了確認.

予約などがうまくいかないとき 次の方法をお試しください ( 大阪市立図書館ホームページ よくある質問 FAQ から抜粋 ) 改訂 目次 Q 予約カート ボタンをクリックしても開かないのだが Q ポップアップがブロックされました という表示がでます Q Windows Media

事前準備マニュアル

Ver.70 改版履歴 版数 日付 内容 担当 V /09/5 初版発行 STS V /0/8 証明書バックアップ作成とインストール手順追加 STS V /0/7 文言と画面修正 STS V..0 0//6 Firefox バージョンの変更 STS V..40

Team Foundation Server 2018 を使用したバージョン管理 補足資料

クライアント証明書インストールマニュアル

スライド 1

Shareresearchオンラインマニュアル

PowerPoint プレゼンテーション

Ver.0 目次. はじめに.... 証明書の発行 ( ダウンロード ) 手順... 付録 A. ルート証明書無しでの証明書の発行 ( ダウンロード ) 手順... 5 付録 B. ブラウザの設定... Copyright 04 SECOM Trust Systems CO.,LTD. All Ri

クライアント証明書インストールマニュアル

. はじめに はじめに みなと外国為替 WEBをご利用いただくにあたり ブラウザ ( インターネットに接続するソフト ) の設定作業は原則不要ですが お客さまのご利用環境によっては ブラウザの設定が必要となる場合があります お客さまの状況にあわせて手順をご確認ください ブラウザの設定を行う前にお客さ

<4D F736F F D FA78AC28BAB82C690DD92E882C982C282A282C42E646F63>

平成30年度 パソコン・ネットワークの設定について

PowerPoint プレゼンテーション

SciFinder (Web版) のエラーへの対処法

< ダッシュボード画面 > 現在開催中の研修 に ご覧いただけるセミナーがすべて表示されます 視聴したいセミナーをクリックします ( セミナーへのお申し込み方法はこちらをご参照ください ) マウスをセミナー名の上に移動すると色が変わります 色の変わる範囲はどこでもクリックすることができます < 講座

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

動作環境 ( 閲覧パソコン ) 新規でご利用いただく場合 : 項目条件対応 OS Windows 7 / 10 対応 Web ブラウザ Internet Explorer 11 / Google Chrome / Mozilla Firefox 但し Google Chrome のリビジョンによって

2Mac OS OS Safari プラグインソフト 3.X Mac OS X 5.X Mac OS X 5.X Mac OS X Adobe Reader ( 入出金明細照会結果を印刷する場合 / ローン 外貨サービスを利用する場合 ) Adobe Fla

<30312E D F898AFA93B193FC8EE88F872E786C73>

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

改版履歴 版数 日付 内容 担当 V /3/9 初版発行 STS V /5/4 エラー画面の削除 STS V //3 サポート環境の追加 サポート環境の説明文章の STS 修正 画面修正 V /2/25 サポート環境変更 STS V

HDC-EDI Base deTradeII送受信機能起動時におけるJava8のセキュリティ警告とその回避策について

. はじめに 動作環境の全ブラウザで 本書の設定を行ってください 本設定を行わない場合 システムが 正常に動作しない可能性がありますので 必ず設定をお願いいたします また 本書の中で 画 像に番号を付与している箇所以外の設定は お使いの環境のままでご使用ください 参考 : 動作環境の全ブラウザについ

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

クライアント証明書導入マニュアル

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

目次 1. Web サーバのセットアップ Cache のセットアップ Cache のインストール ライセンスキーの設定 本書に関するお問い合わせ / 32

付録 :Google ツールバーの設定手順 (1) ブラウザバージョンの確認 まず お使いのブラウザ (Internet Explorer) のバージョンを確認します 手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ヘルプ/ バージョン情報 メニューを選択しま

Flex Signal for AirGRID

ポリシー保護PDF閲覧に関するFAQ

自己紹介 XSS のほうから来ました author of jjencode, aaencode

Inet-Builder Client 操作説明書

ブラウザ Internet Explorer 7 の設定について 第3版

(1) ブラウザバージョンの確認 まず お使いのブラウザ (Internet Explorer) のバージョンを確認します 本システムの動作環境として Internet Explore 11 を使用します 手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ヘルプ

Transcription:

JPCERT-ED-2009-0001 JPCERT/CC 技術メモ - クリックジャッキング対策 ~ X-FRAME-OPTIONS について ~ 第二版 :2009-03-04 (Ver. 2.0) 初版 :2009-03-03 (Ver. 1.0) 執筆者 : 常見敦史 小宮山功一朗本文書の掲載 URL:http://www.jpcert.or.jp/ed/2009/ed090001.pdf 本文書は Web サイト制作者及び運営者を対象に クリックジャッキング攻撃の概要とその対策の一 つとして X-FRAME-OPTIONS の概要 記述方法 設定値による挙動の違いについて解説します

改訂履歴 変更内容 日付 初版 2009 年 3 月 3 日 章番号を追加しました 2009 年 3 月 4 日 二版 4 ページ 1. はじめに の 6 行目から 8 行目において 原因に関す る記述を修正しました -2-

目次 1 はじめに... 4 2 クリックジャッキングとは... 5 2.1 クリックジャッキングの概要... 5 2.2 クリックジャッキング対策... 6 3 クリックジャッキング対策機能 X-FRAME-OPTIONS について... 7 3.1 X-FRAME-OPTIONS の設定値と効果... 8 4 X-FRAME-OPTIONS の記述方法... 8 4.1 Web サーバに記述する... 9 4.2 HTML ファイルに記述する... 11 5 まとめ... 12 6 参考資料... 13-3-

1 はじめに クリックジャッキングは Robert Hansen 氏 Jeremiah Grossman 氏が報告した Web 利用者を標的とした攻撃手法です 2008 年 9 月 27 日に OWASP NYC AppSec 2008 カンファレンスにおいて詳細を発表する予定が ベンダーからの要請により直前にキャンセルされたことが報道されるなど IT 関連のマスコミが大きく取り上げました 両氏の発表とその後のセキュリティ研究者等の調査により 主要な Web ブラウザ利用者すべてがこの脅威の影響を受けることが明らかになったものの 原因が HTML や Flash などのコンテンツを透過表示できる仕組みそのものに関わるため 対策が難しいと考えられていました 近日リリース予定の Microsoft Internet Explorer 8( 以降 IE8) ではクリックジャッキングの解決を目的とした機能の追加が予定されています 詳細な技術的解説は次章以降で触れますが IE8 に追加されるクリックジャッキング対策機能は Web サイト側がこの機能に対応することではじめて効果が期待されるものであり 単に利用者が IE8 を導入しただけでは対策となりえません よって Web サイトの制作者及び運営者は利用者を守るためにこの新機能を正しく理解し 適切な設定を行うことが必要です 本技術メモではクリックジャッキングの概要と IE8 で導入が予定されているクリックジャッキング対策機能がどのようなものかを紹介し その概要及び設定方法について記述します なお 本技術メモは執筆時点における最新の IE8 RC1 を使用して検証を行っております -4-

2 クリックジャッキングとは 2.1 クリックジャッキングの概要 現在までに公開されている情報を総合すると クリックジャッキングとは 図 1 に示すように透過指定された iframe 等の要素に標的サイトのコンテンツを読み込み これを攻撃者サイトの他の要素より上に配置することで Web ブラウザの画面上には攻撃者サイトの要素だけを表示させ その上で利用者が行うクリックを攻撃者サイトへのクリックから標的サイトへのクリックに置き換える手法です クリックジャッキングには JavaScript を無効にしていても影響を受ける 標的サイト上の任意の要素に対し画面遷移を含む複数回のクリックをさせることが可能などの特徴があります 図 1 標的サイトを透過指定し 他の html コンテンツの上に配置する概念図 この手法を攻撃者が悪用することにより 悪意ある Web サイトに誘導された利用者が 気付かない間に標的サイト上で不正操作 ( ショッピングカートの操作 メールの送信 広告のクリック 会員サービスからの退会など ) を引き起こすクリックをさせられる可能性があります 攻撃事例はまだ少ないものの 2009 年 2 月には Twitter において利用者の意図しない投稿をさせられてしまう事件が発生しました -5-

2.2 クリックジャッキング対策 この新たな脅威に対しては様々な対策手法が模索されている段階です 以下に実装が進んでいる いくつかの例について紹介します JavaScript を使った描画制御 一例としては JavaScript の Window オブジェクトを使用するというアプローチがあります JavaScript の Window オブジェクトには window.top と window.self というプロパティがあります window.top は 最上位のフレーム を window.self は スクリプトが記載されているフレーム自身 を表します コンテンツが他のフレームなどから読み込まれている場合 (window.top と window.self の値が違う場合 ) にはダミーのコンテンツを表示させるなどの手法をとることでクリックジャッキング対策が実現できます この手法は Web サイト制作者が手軽に導入できるというメリットがある反面 利用者のブラウザで JavaScript の実行が許可されていないと効果を発揮しないデメリットがあります ブラウザ側での対策 ユーザが行える対策として クリックジャッキング攻撃の多くに見られる フレームの不透明度を細工する (opacity) 表示の前後位置を細工する(z-index) といった特徴を持つコンテンツの表示を避けるという方法が考えられます Firefox のアドオンである NoScript はこの観点から隠されている領域の不透明度の設定を変更し可視化する Opacize や 透明な iframe 上でのクリックをブロックする ClearClick といった対策技術を導入しています これらの方法のデメリットは iframe を使用した正当なサイトのコンテンツを攻撃と誤って認識する可能性が高いことや 柔軟性に乏しく新たな攻撃パターンが登場する都度対策を改める必要があるという点です またこれ以外にも Flash Player のバージョンアップなどによって対策がされる例もありますが ここでは割愛します 次章では これらの対策のデメリットを補完する新たな手法と その手法の実現を図り IE8 でサポートされる X-FRAME-OPTIONS について説明します -6-

3 クリックジャッキング対策機能 X-FRAME-OPTIONS について クリックジャッキングは 自分の管理する Web ページが悪意のある Web サイト上のフレームに表示されることで発生します よって 1) Web サーバ側で 外部サイト上のフレームに表示されることの可否を宣言する 2) Web ブラウザは受け取った Web サーバからの宣言に従い 表示が許可されていない場合はそのコンテンツを外部サイト上のフレームに読み込まないといった取り決めをすることで対策が実現できます IE8 では 新たにサポートされる X-FRAME-OPTIONS という HTTP レスポンスヘッダーによって こうした対策の実現を図っています Web サーバ管理者は Web サーバが送信する HTTP レスポンスヘッダーに X-FRAME-OPTIONS を加えるよう設定を行うことで IE8 に対し 外部サイト上のフレームに自分の管理する Web ページが表示されることの可否を宣言することができます X-FRAME-OPTIONS を含む HTTP レスポンスヘッダーを受け取った IE8 は 図 2 に示すように Web ページをフレーム上に表示することの可否を判断し 描画を変えます 図 2 X-FRAME-OPTIONS 指定の有無による挙動の違い -7-

3.1 X-FRAME-OPTIONS の設定値と効果 X-FRAME-OPTIONS には設定値として DENY と SAMEORIGIN が存在します 以下にそれぞれの設定 値と効果について説明します DENY 設定値 効果 他の Web ページ上の frame 及び iframe 上での表示を拒否し ます SAMEORIGIN Top-level-browsing-context が一致した場合のみ 他の Web ページ上の frame 及び iframe 上での表示を許可します 一致 しない場合は表示を拒否します 4 X-FRAME-OPTIONS の記述方法 X-FRAME-OPTIONS を送信するには 以下の 2 種類の方法が考えられます Web サーバ管理者は主に 4.1 の内容を Web サイト制作者は主に 4.2 の内容をそれぞれ参考にしてください なお 本項では設定値を DENY にする場合を記述しています SAMEORIGIN を指定する場合は DENY を SAMEORIGIN に読み替えてください なお JPCERT/CC の評価環境においてこのヘッダーを追加することによる不具合は現在確認されておりませんが 導入に際しては構成システム上でよく動作確認をされることをお勧めします -8-

4.1 Web サーバに記述する Web サーバの設定ファイルを書き換えることでヘッダーを追加する方法です 個別の html ファイルに対する変更作業が生じないため 管理する Web サーバに X-FRAME-OPTIONS を一括して設定したい場合はこの方法が便利です 以下 一例として Debian 上の Apache2 と Windows Server 2003 R2 上の IIS6.0 における設定例を記述し ます いずれも JPCERT/CC の評価環境における導入テストに基づいた内容ですので お使いの環境と照 らし合わせて参考にしてください Apache2 の場合 apache2.conf に以下の記述を追加して プロセスを再起動します <IfModule mod_headers.c> Header append X-FRAME-OPTIONS DENY </IfModule> IIS6.0 の場合 インターネットインフォメーションサービスマネージャを起動し ツリーから既定の Web サイト ( 設定対象を限定する場合は任意の Web サーバ ) を右クリックし プロパティを表示します HTTP ヘッダータブを選択し カスタム HTTP ヘッダーの追加をクリックします -9-

図 3 IIS6.0 におけるカスタム HTTP ヘッダーの追加方法 (1) カスタムヘッダー名に " X-FRAME-OPTIONS " カスタムヘッダー値に "DENY" を追加し OK を押下しま す 適用または OK を押下し マネージャを閉じます 図 3 IIS6.0 におけるカスタム HTTP ヘッダーの追加方法 (2) -10-

4.2 HTML ファイルに記述する Web サーバ全体の設定を変更できない あるいはコンテンツやサービスごとにオプションの値や記述の有無を変えたい場合などは http-equiv を使用して HTML ファイルに直接記述することが可能です HTML ファイルの <head> タグ内に <meta http-equiv="x-frame-options" content="deny" /> を追加し 保存します -11-

5 まとめ X-FRAME-OPTIONS は Web サイトの制作者及び運営者が実行可能なクリックジャッキング対策として有望な手法と言えます 特にクリックジャッキングによる脅威が大きいと考えられるショッピングサイトやオンラインバンキングサイトでは 脅威からの利用者保護を目的として本ヘッダーの導入を検討してください 現在のところ 標準で X-FRAME-OPTIONS を元にレンダリングの挙動が変わるブラウザは IE8 のみ (Firefox 用のアドオンである NoScript はこのヘッダーに対応しています ) であり 他のブラウザベンダーが対応を行うかどうかは現時点では不明です X-FRAME-OPTIONS が効力を発揮するには これに対応したブラウザが一般ユーザに行き渡るとともに クリックジャッキング対策が必要なすべての Web サイトがこのヘッダーを送出することが条件になります その間にも 新たなクリックジャッキングの手法が出現することが予想されるため X-FRAME-OPTIONS への対応 それ以外のクリックジャッキング対策の検討 そしてそれらの対策に向けた攻撃手法の分析を並行して継続的に進めることが必要です -12-

6 参考資料 IE8 Security Part VII: ClickJacking Defenses IEBlog http://blogs.msdn.com/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx Birth of a Security Feature: ClickJacking Defense IEBlog http://blogs.msdn.com/ie/archive/2009/02/02/birth-of-a-security-feature-clickjacking-defense.aspx IE8's clickjacking fix not much help, security researchers say http://www.computerworld.com/action/article.do?command=viewarticlebasic&taxonomyname=security&a rticleid=9000189&taxonomyid=17&pagenumber=2 IETF:RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1 http://www.ietf.org/rfc/rfc2616.txt NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! http://noscript.net/ <お願い> 引用の際は 引用元名 資料名 URL を明示してください なお 引用の際は引用先文書 時期 内容等の情報を JPCERT/CC 広報 (office@jpcert.or.jp) までメールにてお知らせください 今後 より良い情報を提供するため どこで どのような方に どのような場面で お使いいただけているのかを把握し検討するため ご協力をお願いいたします -13-

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック