基本情報技術者試験「クリックジャッキング」の問題
ある会員サイトで、攻撃者が用意した別ページに会員サイトの操作画面を透明な枠として重ね、利用者が無関係なボタンと思って押した操作が実際には会員サイト上の重要操作になってしまう攻撃が懸念される。この攻撃を防ぐ対策として、最も適切なものはどれか。
エ自サイトのページが他サイトの枠(フレーム)内に取り込まれること自体をブラウザに拒ませる応答ヘッダを返す。
ア重要操作のボタンを目立つ配色に変え、利用者が押し間違えることのないよう画面上で注意を促す。
イ重要操作の実行が完了した後に、実際に行われた操作の内容を利用者へメールで通知して知らせる。
ウ会員サイトのログインパスワードを定期的に変更させ、認証に用いる秘密そのものの強度を高める。
正解
エ.自サイトのページが他サイトの枠(フレーム)内に取り込まれること自体をブラウザに拒ませる応答ヘッダを返す。
クリックジャッキングは、自サイトの操作画面を攻撃者のページのフレームに透明化して重ね、利用者の意図しないクリックを重要操作に変える攻撃である。X-Frame-Options(DENY/SAMEORIGIN)やContent-Security-Policyのframe-ancestorsで自サイトページの他サイトフレームへの取り込みをブラウザに拒ませれば、重ね合わせの前提となるフレーム表示自体が成立せず、攻撃を根本から防げる。
?選択肢ごとの解説
エ ○クリックジャッキングは、自サイトの操作画面を攻撃者のページのフレームに透明化して重ね、利用者の意図しないクリックを重要操作に変える攻撃である。X-Frame-Options(DENY/SAMEORIGIN)やContent-Security-Policyのframe-ancestorsで自サイトページの他サイトフレームへの取り込みをブラウザに拒ませれば、重ね合わせの前提となるフレーム表示自体が成立せず、攻撃を根本から防げる。
ア ×ボタンの配色変更は透明な枠で覆われていれば本来のボタンは見えないため、押し間違いを誘うクリックジャッキングには無力である。
イ ×操作後のメール通知は事後の気づきには役立つが、意図しない操作が実行される前に阻止できず未然防止にならない。
ウ ×パスワードの定期変更は認証情報の管理策であり、ログイン中の正規利用者のクリックを悪用するクリックジャッキングは防げない。
✎くわしく
クリックジャッキングは『正規画面を見えない形で他ページに重ねる』ことが本質で、利用者は本物を操作しているため認証や入力検証では防げない。対策はそもそも自ページを外部フレームに埋め込ませないことであり、応答ヘッダによる表示制御が決定打となる。
✓本番での押さえどころ
試験のコツ
クリックジャッキング対策はX-Frame-Optionsまたはframe-ancestorsで他サイトフレームへの埋め込みを禁止する応答ヘッダ。
覚え方
クリックジャッキングは『透明な板を重ねて押させる』。自分の画面を他人の額縁(フレーム)に入れさせない。
よくある誤り
見た目や事後通知、認証強化で対処しようとするが、論点は『フレームへの埋め込み』であり、それを禁止するヘッダでなければ防げない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0104