クリックジャック保護制御

コントロール名

クリックジャック保護

推奨設定

• 設定ページのクリックジャック保護を有効化
• 設定以外の Salesforce ページのクリックジャック保護の有効化
• 標準ヘッダーを使用した顧客の Visualforce ページのクリックジャック保護の有効化
• ヘッダーが無効になっているお客様の Visualforce ページのクリックジャック保護を有効化

[設定] > [セッション設定] > [クリックジャック保護] > [すべてのクリックジャック保護オプションを有効化]。

制御の概要

UIの修正攻撃から組織を保護するために、Salesforceではクリックジャック保護設定を提供して、悪意のあるWebサイトがSalesforceページ([設定]ページやカスタムVisualforceページなど)を非表示のiframe内に埋め込むことを防止しています。

設定されていない場合のセキュリティリスク

クリックジャック保護を有効にしないと、ユーザーは UI Redress 攻撃にさらされます。攻撃者は Salesforce ページを悪意のあるサイトの見えない iframe に埋め込み、レコードの削除や権限の付与など、意図しないアクションを実行させます。この見落としにより、正当なユーザー操作が乗っ取られてユーザーのKnowledgeなしに悪意のあるコマンドを実行するため、不正なデータ変更やアカウント侵害のリスクが高まります。

脅威のシナリオ

攻撃者は、認証済み Salesforce ユーザーを悪意のある Web サイトに誘導し、その Web サイトで「Claim Your Prize (賞品を要求)」などのおとりボタンを使用して、ユーザー無効化画面やレコード削除画面などの機密 Salesforce ページの見えない iframe を直接ホストします。ユーザーがおとりをクリックすると、非表示の Salesforce コマンドを知らずに実行し、重要な顧客データが不正に削除されたり、攻撃者のシステム権限が目に見える警告なしに昇格されたりする可能性があります。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

コアリスクへの影響には、データの機密性とシステムの整合性の重要な侵害が含まれます。軽減されていない脆弱性が悪用されると、不正なデータの持ち出し、不正な管理アクション、重大な規制違反につながります。

より高いリスク

許容範囲が大きすぎる [信頼済みドメイン] リストでは、信頼できない外部サイトや侵害された外部サイトがフレーム化制限をスキップし、非表示の Salesforce コンポーネントをホストする可能性があるため、リスクが非常に高くなります。さらに、内部設定のセキュリティ保護のみを行いながら、カスタムVisualforceページまたはExperience Cloudサイトのクリックジャック保護を有効にしないことで、攻撃者が管理者以外のユーザーを標的とする脆弱な「バックドア」が作成されます。

Low or No Risk When (低リスクまたは無リスクの場合)

クリックジャックのリスクを最小限に抑えるために、組織はインラインフレームの信頼済みドメインを使用して、承認された外部サイトのみを明示的にホワイトリストに登録し、フレーム化を既知の安全な環境に制限できます。さらに、安全なAPIインテグレーションを備えたLWC(Lightning Webコンポーネント)を採用すると、iframeを使用することなくネイティブ データ レンダリングが可能になり、プライマリ攻撃ベクトルを効果的に排除しながら、誤って乗っ取られたクリックによる潜在的な損害を最小限に抑える最小権限モデルを維持できます。

ビジネスと統合に関する考慮事項

クリックジャック保護を実装するには、Salesforce ページを iframe 化するすべての外部ポータルとサードパーティアプリケーションを包括的に監査して、それらが適切に許可リストに登録されていることを確認する必要があります。制限しすぎると、ビジネスクリティカルなインテグレーションや顧客対応ワークフローが機能しなくなる可能性があります。

推奨される修復

[Salesforce セッション設定] でクリックジャック保護を有効にします。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

セキュリティ状態レビューでは、組織のセッション設定を調べて、クリックジャック保護がベストプラクティスに従って有効になっていることを確認します。