情報処理安全確保支援士試験 令和6年秋期午前Ⅱ クリックジャッキング攻撃
出典:令和6年秋期 午前Ⅱ 問14
分野:セキュリティ / セキュリティ実装技術
クリックジャッキング攻撃に有効な対策はどれか。
- ア:cookieに,HttpOnly属性を設定する。
- イ:cookieに,Secure属性を設定する。
- ウ:HTTPレスポンスヘッダーに,Strict-Transport-Securityを設定する。
- エ:HTTPレスポンスヘッダーに,X-Frame-Optionsを設定する。
TSUNAGARU-ADVICE
まず押さえたいこと
クリックジャッキング攻撃は、利用者に見えないフレームなどを重ねて、意図しないクリック操作を行わせる攻撃です。
迷ったときの判断軸
この攻撃への対策では、自サイトの画面が他サイトのiframeなどに埋め込まれないようにすることが重要です。したがって、HTTPレスポンスヘッダーにX-Frame-Optionsを設定すると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、Web攻撃の対策を名前で覚えるだけでなく、何を悪用される攻撃なのかを対策と結び付けて理解することが重要です。HttpOnlyはスクリプトからのcookie読取り対策、SecureはHTTPS通信時のみcookieを送る設定、HSTSはHTTPS利用を強制する設定として切り分けておきましょう。
クリックジャッキング攻撃は、攻撃者が透明なiframeなどを使って正規サイトを別ページ上に重ね、利用者に意図しないクリック操作をさせる攻撃です。
対策としては、HTTPレスポンスヘッダーにX-Frame-Optionsを設定し、ページがiframeなどのフレーム内に表示されることを制限します。X-Frame-Optionsに設定できる値は次の2つです。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:cookieに,HttpOnly属性を設定する。
⇒CookieをJavaScriptから参照されにくくするXSS対策です。クリックジャッキング対策ではありません。
イ:cookieに,Secure属性を設定する。
⇒CookieをHTTPS通信時だけ送信するための設定です。クリックジャッキング対策ではありません。
ウ:HTTPレスポンスヘッダーに,Strict-Transport-Securityを設定する。
⇒HTTPS接続を強制するHSTSの設定です。クリックジャッキング対策ではありません。