😸

X-Frame-Options によるクリックジャッキング対策

に公開
Laravel
nginx
Nuxt 3
xframeoptions
クリックジャッキング対策
tech

Laravel + Nuxt環境でクリックジャッキング脆弱性を対応した話

はじめに

先日、私の会社で運用しているWebサービスにおいて、セキュリティ診断でクリックジャッキング脆弱性が発見されました。幸い実害は発生していませんでしたが、対応が必要となったため、その経験をまとめて共有します。

本記事では、クリックジャッキングとは何か、なぜ危険なのか、そしてNginxでの対応方法について詳しく説明します。

脆弱性の概要

クリックジャッキングとは

クリックジャッキングとは、悪意のある第三者が透明な<iframe>を使って、ユーザーに本来とは異なるUIを見せ、意図しない操作を実行させる攻撃手法です。

具体的には以下のような攻撃が可能になります:

  • あるWebサイトの「削除」ボタンをiframeで読み込み、透明にしてユーザーの見ている別のボタンの下に重ねる
  • ユーザーが見た目では無害なボタンをクリックしているつもりでも、実際は削除処理が実行される

この攻撃は、対象ページがiframe埋め込みを許可している場合に成立します。

脅威とリスク

クリックジャッキング攻撃により、以下のような被害が発生する可能性があります:

  • 意図しない操作の実行:削除、送信、購入などの重要な操作が無断で実行される
  • 信頼性の悪用:攻撃者が構築した偽のWebページに正規ページのコンテンツを埋め込み、信頼を装って不正な行動を誘導する
  • セッションの悪用:認証済みのユーザーを標的にすると、セッションを利用した不正な処理が実行される

原因の調査

調査の結果、原因はHTTPレスポンスヘッダーにX-Frame-Optionsが設定されていないことでした。

X-Frame-Optionsヘッダーは、Webブラウザに対して「このページが他のサイトから<iframe>で読み込まれることを許可するかどうか」を指示するものです。このヘッダーが設定されていない場合、ブラウザはそのページを自由にiframeで読み込むことを許してしまいます。

対応方法

X-Frame-Optionsヘッダーの設定

クリックジャッキング対策として、X-Frame-Optionsヘッダーを設定することが一般的かつ有効です。

Nginxでの設定例

add_header X-Frame-Options "SAMEORIGIN" always;

alwaysを追加することで、すべてのレスポンス(200, 404, 500, 301など)にX-Frame-Optionsヘッダーが確実に追加されます。

設定場所の例

/etc/nginx/nginx.confのhttpブロック内に追加:

http {
    ...
    add_header X-Frame-Options "SAMEORIGIN" always;
    ...
}

主な設定値の種類

設定値 説明
DENY すべてのiframe埋め込みを拒否
SAMEORIGIN 同一オリジンからの埋め込みのみ許可
ALLOW-FROM uri 指定のオリジンからのみ許可(非推奨・ブラウザ非対応)

設定値の選択

私たちのシステムでは、LaravelをAPIとして運用しているため、基本的にはiframe埋め込みの必要がありません。そのためDENYを設定しても問題ないケースが多いですが、将来的にiframeでの埋め込み要件が出てくる可能性を考慮し、SAMEORIGINを選択しました。

影響範囲の検証

ユーザー操作や機能への影響

  • 基本的に影響なし:Laravel + Nuxtの構成では、画面を<iframe>で埋め込む必要がほぼないため、ユーザーが操作する部分への影響はほとんどありません
  • iframe埋め込み機能の確認:管理画面や外部システム連携などで自社サービスの画面を<iframe>で表示している場合は、その機能が使えなくなる可能性があるため要確認

システム運用・保守への影響

  • 設定追加のみで済むため運用負荷は低い:Nginxの設定変更のみで対応でき、コード修正は不要
  • 設定ミスによるサービス停止リスクに注意:Nginx設定ミスや誤った場所への追加は、サーバーエラーや画面表示不良の原因になるため、変更後は必ず動作確認が必要

他システムとの連携への影響

  • iframeを利用した他システムとの連携に影響する可能性:パートナーサイトで自社の画面をiframeで表示していた場合、iframeがブロックされ、連携が機能しなくなる
  • 将来的にiframeを利用する可能性がある場合は調整が必要:意図的にiframeを使うケースがあれば、X-Frame-Optionsの設定を見直す必要

まとめ

クリックジャッキング脆弱性は、適切な対策を行えば比較的簡単に対応できるセキュリティ問題です。特に、Laravel + Nuxtのような構成では、iframe埋め込みの必要性が低いため、X-Frame-Optionsヘッダーの設定による影響も最小限に抑えられます。

セキュリティ対策は後回しにされがちですが、このような軽微な設定変更で大きなリスクを回避できる場合もあります。定期的なセキュリティ診断と、発見された問題への迅速な対応が重要だと改めて実感しました。

参考資料

この記事が、同様の脆弱性対応に取り組む方々の参考になれば幸いです。セキュリティ対策は継続的な取り組みが重要ですので、お互いに頑張りましょう!

Discussion