SlideShare una empresa de Scribd logo

クリックジャッキング

Descargar como PPTX, PDF
A
abend_cve_9999_0001
1 de 22
~ 1クリックの後悔~ ※本稿の内容を管理下ではない環境に対して 実施しないでください。
自己紹介 Twitter: abend Webセキュリティをメインでやってます。 本が出てます。
クリックジャッキングって 見た目上、無害に見せかけてた罠サイトに利用者を誘導 し、利用者が意図しない操作を正規サイトに対して実行 させる攻撃手法。 Robert Hansen & Jeremiah Grossmanに2008年にOWASP で発表された。 IPA http://www.ipa.go.jp/about/technicalwatch/20130326.html
StyleSheetを用いて正規サイトを透過させるため、見た目 では無害な罠サイトであると誤認識させて、利用者が正 規サイトで意図せず処理を実行してしまう。 罠サイト クリックジャッキングって 罠ボタン 正規サイト ボタン 正規サイトは 全く見えない 状態にする。
じゃあ、やってみる <クリックジャッキングに必要なもの> ・攻撃対象サイト ・罠サイト ・攻撃者 ・被害者 ・被害者が利用するブラウザ
攻撃対象サイトの用意 脆弱性検証用に作成したショッピングサイトをターゲッ ト。 会員制のショッピングサイトで、認証済みの利用者が商 品を購入可能なサイト。
罠サイトの用意 ネタを仕込み済みの罠サイトを使用。
罠サイトの中身 罠サイトでは2つのことをしています。 ・ 埋め込まれたサイトのstyle属性を変更し、見えないようにする。 ・ iframeを用いて、攻撃対象サイトを罠サイトに埋め込む。
罠サイトの中身 変更しているstyle属性は、以下の通り。 filter:alpha(opacity=0); opacity: 0.0; -moz-opacity: 0.0; →IE6 →ほとんどのブラウザ →古いFirefoxやNetscape とりあえず、いろいろ仕込んでおけば、多くのブラ ウザで有効化(見えなくなる)される。
罠サイトの中身 スケスケ度30%に設定 ああっ。
2クリックが紡ぐ新たなストー リー 通常の退会処理手順
ログイン済みのユーザを誘導して・・・。 2クリックが紡ぐ新たなストー リー
2クリックが紡ぐ新たなストー リー
2クリックが紡ぐ新たなストー リー
たとえば、「いいね」ボタンを押させるなど・・・ 1クリックの後悔 アダルトサイトで「いいね」を連呼させられるな ど・・・ 攻撃対象サイト 罠サイト(スケスケ度3 0%)
どう守る? サーバ側とユーザ側で対策を行う必要がある。 サーバ側 ユーザ側 守りたいサイトがiframeで表示できないようにX-FRAME-OPTIONS ヘッダを埋め込む。 X-FRAME-OPTIONSヘッダを認識するブラウザを使用する。
どう守る? 攻撃対象サイトの対策実施前 HTTP/1.1 200 OK Date: Sat, 06 Jul 2013 07:51:54 GMT Set-Cookie: JSESSIONID=01081CAB2A51C5D0B2317A80B400E79E; Path=/WithUS/; HttpOnly Set-Cookie: cart=""; Path=/ Content-Type: text/html;charset=utf-8 Connection: close Content-Length: 12802
どう守る? 攻撃対象サイトの対策実施後 HTTP/1.1 200 OK Date: Sat, 06 Jul 2013 08:27:45 GMT X-FRAME-OPTIONS: DENY Set-Cookie: JSESSIONID=7C1504026774FBB9AB462F66D060251B; Path=/; HttpOnly Content-Type: text/html;charset=utf-8 Connection: close Content-Length: 12802 DENY サイト側の意図に関わらず、ページをフレーム内に表示することはできません。 SAMEORIGIN 自身と生成元が同じフレーム内に限り、ページを表示することができます。ALLOW- FROM uri 指定された生成元に限り、ページをフレーム内に表示できます。 オプション内容
ユーザ側は、古いブラウザを使わないってのが一番の対策。 以下、記載よりも新しければOK。(リリース時期) どう守る? IE8.0(2009年3月) Safari4.0(2009年6月) Chrome4.1.249.1042(2010年4月) Firefox3.6.9(2010年9月) Opera10.5(2010年10月) ちゃんとアップデートしましょう。
ブラウザでも動作の止め方が異なります。 以下は、スケスケ度30%でのブラウザごとの挙動。 どう守る? IE Chrome、Firefox、Opera IEの場合、エラーメッセージ表示される。それ以外のブラウザは、 特に何もなし。この点においては、IEの方が親切。
Chrome、Firefox、OperaもIE同様エラーメッセージを表示するよう にしてほしい。クリックジャッキングのリスクはないにしても、被 害者にアクセスしているサイトが罠サイトであると気づいてもらえ るようにした方がいいと思う。 いろいろと。 <ブラウザに関して> サーバアプリは、デフォルトでX-FRAME-OPTIONS(値:DENY)を セットするようにしてほしい。クライアントが最新ブラウザ使っても サーバで何もしていなければ意味がないので。 <サーバに関して>
追加情報だよ。 http://www.sophos.com/ja-jp/press-office/press-releases/2013/06/ns-anatomy-of- a-browser-trick.aspx SOPHOSから新手のクリックジャッキングの手法に関してのレポート が2013年6月29日に出てました。 不正なファイルを実行させるための方法で、EXEをダウンロードさせ、 CHAPCHAなどを用いて「E」を入力させることで実行させるというも のです。 ブラウザの種類によって挙動が異なるため、有効性は不明。対策は前 述のとおり。

Recomendados

リクルートでのUXリサーチ
リクルートでのUXリサーチリクルートでのUXリサーチ
リクルートでのUXリサーチ
Steph Maki Okusa
 
ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入
ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入
ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入
keysh2
 
クモ型ロボットにおける逆運動学計算
クモ型ロボットにおける逆運動学計算クモ型ロボットにおける逆運動学計算
クモ型ロボットにおける逆運動学計算
Teng Tokoro
 
サイバーエージェントにおけるデータの品質管理について #cwt2016
サイバーエージェントにおけるデータの品質管理について #cwt2016サイバーエージェントにおけるデータの品質管理について #cwt2016
サイバーエージェントにおけるデータの品質管理について #cwt2016
cyberagent
 
敏捷領導力 Agile leadership
敏捷領導力 Agile leadership敏捷領導力 Agile leadership
敏捷領導力 Agile leadership
Yves Lin
 
Sqlアンチパターン(メタデータトリブル)
Sqlアンチパターン(メタデータトリブル)Sqlアンチパターン(メタデータトリブル)
Sqlアンチパターン(メタデータトリブル)
Tomoaki Uchida
 
MiiTel.pdf
MiiTel.pdfMiiTel.pdf
MiiTel.pdf
ShinnosukeSegawa
 
Azure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイド
Azure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイドAzure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイド
Azure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイド
Yoichi Kawasaki
 

Recomendados

リクルートでのUXリサーチ
リクルートでのUXリサーチリクルートでのUXリサーチ
リクルートでのUXリサーチ
Steph Maki Okusa
 
ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入
ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入
ぼんやりした要件とテストケースから出てくる地獄のようなゲームテスト自動化導入
keysh2
 
クモ型ロボットにおける逆運動学計算
クモ型ロボットにおける逆運動学計算クモ型ロボットにおける逆運動学計算
クモ型ロボットにおける逆運動学計算
Teng Tokoro
 
サイバーエージェントにおけるデータの品質管理について #cwt2016
サイバーエージェントにおけるデータの品質管理について #cwt2016サイバーエージェントにおけるデータの品質管理について #cwt2016
サイバーエージェントにおけるデータの品質管理について #cwt2016
cyberagent
 
敏捷領導力 Agile leadership
敏捷領導力 Agile leadership敏捷領導力 Agile leadership
敏捷領導力 Agile leadership
Yves Lin
 
Sqlアンチパターン(メタデータトリブル)
Sqlアンチパターン(メタデータトリブル)Sqlアンチパターン(メタデータトリブル)
Sqlアンチパターン(メタデータトリブル)
Tomoaki Uchida
 
MiiTel.pdf
MiiTel.pdfMiiTel.pdf
MiiTel.pdf
ShinnosukeSegawa
 
Azure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイド
Azure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイドAzure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイド
Azure Functions 2.0 Deep Dive - デベロッパーのための最新開発ガイド
Yoichi Kawasaki
 
Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -
Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -
Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -
Issei Nishigata
 
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
Hironori Washizaki
 
RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -
RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -
RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -
CData Software Japan
 
JMDC / Looker User Meetup in Tokyo #4
JMDC / Looker User Meetup in Tokyo #4JMDC / Looker User Meetup in Tokyo #4
JMDC / Looker User Meetup in Tokyo #4
ssuser91ce63
 
Slideshare Japanese
Slideshare JapaneseSlideshare Japanese
Slideshare Japanese
Hidenori Goto
 
Standards and projects of SC 24/WG 9 on Metaverse and Interverse
Standards and projects of SC 24/WG 9 on Metaverse and InterverseStandards and projects of SC 24/WG 9 on Metaverse and Interverse
Standards and projects of SC 24/WG 9 on Metaverse and Interverse
Kurata Takeshi
 
マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例
マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例
マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例
Yukio Okajima
 
Airflowで真面目にjob管理
Airflowで真面目にjob管理Airflowで真面目にjob管理
Airflowで真面目にjob管理
msssgur
 
Storytelling ux tokyo-en
Storytelling ux tokyo-enStorytelling ux tokyo-en
Storytelling ux tokyo-en
Yoshinori Wakizaka
 
軽くRDB再入門とGraph DB 入門
軽くRDB再入門とGraph DB 入門軽くRDB再入門とGraph DB 入門
軽くRDB再入門とGraph DB 入門
Kentaro Masumori
 
Salesforce 開発入門
Salesforce 開発入門Salesforce 開発入門
Salesforce 開発入門
Salesforce Developers Japan
 
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
Livesense Inc.
 
デザイン組織のUX
デザイン組織のUXデザイン組織のUX
デザイン組織のUX
Shinya Kobayashi
 
DataRobotを用いた要因分析 (Causal Analysis by DataRobot)
DataRobotを用いた要因分析 (Causal Analysis by DataRobot)DataRobotを用いた要因分析 (Causal Analysis by DataRobot)
DataRobotを用いた要因分析 (Causal Analysis by DataRobot)
Yuya Yamamoto
 
アジャイルな開発組織のOKRベストプラクティス&アンチパターン
アジャイルな開発組織のOKRベストプラクティス&アンチパターンアジャイルな開発組織のOKRベストプラクティス&アンチパターン
アジャイルな開発組織のOKRベストプラクティス&アンチパターン
真吾 吉田
 
Ruby on Rails のキャッシュ機構について
Ruby on Rails のキャッシュ機構についてRuby on Rails のキャッシュ機構について
Ruby on Rails のキャッシュ機構について
Tomoya Kawanishi
 
LEANSTARTUPアンチパターン #devlove #leanstartup
LEANSTARTUPアンチパターン #devlove #leanstartupLEANSTARTUPアンチパターン #devlove #leanstartup
LEANSTARTUPアンチパターン #devlove #leanstartup
Itsuki Kuroda
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理
fisuda
 
学生のためのAI豆知識
学生のためのAI豆知識学生のためのAI豆知識
学生のためのAI豆知識
Rei Sasaki
 
Bypassing anti virus using powershell
Bypassing anti virus using powershellBypassing anti virus using powershell
Bypassing anti virus using powershell
abend_cve_9999_0001
 
ポートスキャンを擬人化してみた
ポートスキャンを擬人化してみたポートスキャンを擬人化してみた
ポートスキャンを擬人化してみた
abend_cve_9999_0001
 

Más contenido relacionado

La actualidad más candente

Standards and projects of SC 24/WG 9 on Metaverse and Interverse
Standards and projects of SC 24/WG 9 on Metaverse and InterverseStandards and projects of SC 24/WG 9 on Metaverse and Interverse
Standards and projects of SC 24/WG 9 on Metaverse and Interverse
Kurata Takeshi
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 

La actualidad más candente (20)

Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -
Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -
Solr の LTR プラグインの使い方 - 第3回 LTR 勉強会資料 -
 
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
デザイン思考および周辺 - ユーザビリティ、UX、アジャイル開発を含めて-
 
RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -
RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -
RPAツールでもできるWeb API 連携 - もう画面変更でロボットが壊れるとは言わせない -
 
JMDC / Looker User Meetup in Tokyo #4
JMDC / Looker User Meetup in Tokyo #4JMDC / Looker User Meetup in Tokyo #4
JMDC / Looker User Meetup in Tokyo #4
 
Slideshare Japanese
Slideshare JapaneseSlideshare Japanese
Slideshare Japanese
 
Standards and projects of SC 24/WG 9 on Metaverse and Interverse
Standards and projects of SC 24/WG 9 on Metaverse and InterverseStandards and projects of SC 24/WG 9 on Metaverse and Interverse
Standards and projects of SC 24/WG 9 on Metaverse and Interverse
 
マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例
マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例
マーケティングもリモート×アジャイルに ~ Agile Studio マーケティングチームの事例
 
Airflowで真面目にjob管理
Airflowで真面目にjob管理Airflowで真面目にjob管理
Airflowで真面目にjob管理
 
Storytelling ux tokyo-en
Storytelling ux tokyo-enStorytelling ux tokyo-en
Storytelling ux tokyo-en
 
軽くRDB再入門とGraph DB 入門
軽くRDB再入門とGraph DB 入門軽くRDB再入門とGraph DB 入門
軽くRDB再入門とGraph DB 入門
 
Salesforce 開発入門
Salesforce 開発入門Salesforce 開発入門
Salesforce 開発入門
 
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
 
デザイン組織のUX
デザイン組織のUXデザイン組織のUX
デザイン組織のUX
 
DataRobotを用いた要因分析 (Causal Analysis by DataRobot)
DataRobotを用いた要因分析 (Causal Analysis by DataRobot)DataRobotを用いた要因分析 (Causal Analysis by DataRobot)
DataRobotを用いた要因分析 (Causal Analysis by DataRobot)
 
アジャイルな開発組織のOKRベストプラクティス&アンチパターン
アジャイルな開発組織のOKRベストプラクティス&アンチパターンアジャイルな開発組織のOKRベストプラクティス&アンチパターン
アジャイルな開発組織のOKRベストプラクティス&アンチパターン
 
Ruby on Rails のキャッシュ機構について
Ruby on Rails のキャッシュ機構についてRuby on Rails のキャッシュ機構について
Ruby on Rails のキャッシュ機構について
 
LEANSTARTUPアンチパターン #devlove #leanstartup
LEANSTARTUPアンチパターン #devlove #leanstartupLEANSTARTUPアンチパターン #devlove #leanstartup
LEANSTARTUPアンチパターン #devlove #leanstartup
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理FIWAREシステム内の短期履歴の管理
FIWAREシステム内の短期履歴の管理
 
学生のためのAI豆知識
学生のためのAI豆知識学生のためのAI豆知識
学生のためのAI豆知識
 

Más de abend_cve_9999_0001

フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
 

Más de abend_cve_9999_0001 (20)

Bypassing anti virus using powershell
Bypassing anti virus using powershellBypassing anti virus using powershell
Bypassing anti virus using powershell
 
ポートスキャンを擬人化してみた
ポートスキャンを擬人化してみたポートスキャンを擬人化してみた
ポートスキャンを擬人化してみた
 
Bypassing Windows Security Functions(ja)
Bypassing Windows Security Functions(ja)Bypassing Windows Security Functions(ja)
Bypassing Windows Security Functions(ja)
 
Bypassing Windows Security Functions(en)
Bypassing Windows Security Functions(en)Bypassing Windows Security Functions(en)
Bypassing Windows Security Functions(en)
 
Burp Suite Japanユーザグループ紹介
Burp Suite Japanユーザグループ紹介Burp Suite Japanユーザグループ紹介
Burp Suite Japanユーザグループ紹介
 
バックアップファイルの管理
バックアップファイルの管理バックアップファイルの管理
バックアップファイルの管理
 
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
 
Your hash is.
Your hash is.Your hash is.
Your hash is.
 
Nmapの真実(続)
Nmapの真実(続)Nmapの真実(続)
Nmapの真実(続)
 
Nmap 9 truth "Nothing to say any more"
Nmap 9 truth "Nothing to say any more"Nmap 9 truth "Nothing to say any more"
Nmap 9 truth "Nothing to say any more"
 
Nmap 9つの真実
Nmap 9つの真実Nmap 9つの真実
Nmap 9つの真実
 
Nmapの真実
Nmapの真実Nmapの真実
Nmapの真実
 
Burpで指定文字列を検索
Burpで指定文字列を検索Burpで指定文字列を検索
Burpで指定文字列を検索
 
The vulnerabilities never bothered me anyway
The vulnerabilities never bothered me anywayThe vulnerabilities never bothered me anyway
The vulnerabilities never bothered me anyway
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
 
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したらもしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
 
Burp番外編~バープ、チョトニホンゴデキル~
Burp番外編~バープ、チョトニホンゴデキル~Burp番外編~バープ、チョトニホンゴデキル~
Burp番外編~バープ、チョトニホンゴデキル~
 
おちこんだりもしたけど、私は元気です。
おちこんだりもしたけど、私は元気です。おちこんだりもしたけど、私は元気です。
おちこんだりもしたけど、私は元気です。
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
 

クリックジャッキング