情報セキュリティ

基本情報技術者試験クリックジャッキング」の問題

情報セキュリティ情報セキュリティ難易度:normal
ある会員サイトで、攻撃者が用意した別ページに会員サイトの操作画面を透明な枠として重ね、利用者が無関係なボタンと思って押した操作が実際には会員サイト上の重要操作になってしまう攻撃が懸念される。この攻撃を防ぐ対策として、最も適切なものはどれか。
自サイトのページが他サイトの枠(フレーム)内に取り込まれること自体をブラウザに拒ませる応答ヘッダを返す。
重要操作のボタンを目立つ配色に変え、利用者が押し間違えることのないよう画面上で注意を促す。
重要操作の実行が完了した後に、実際に行われた操作の内容を利用者へメールで通知して知らせる。
会員サイトのログインパスワードを定期的に変更させ、認証に用いる秘密そのものの強度を高める。
正解
自サイトのページが他サイトの枠(フレーム)内に取り込まれること自体をブラウザに拒ませる応答ヘッダを返す。

クリックジャッキングは、自サイトの操作画面を攻撃者のページのフレームに透明化して重ね、利用者の意図しないクリックを重要操作に変える攻撃である。X-Frame-Options(DENY/SAMEORIGIN)やContent-Security-Policyのframe-ancestorsで自サイトページの他サイトフレームへの取り込みをブラウザに拒ませれば、重ね合わせの前提となるフレーム表示自体が成立せず、攻撃を根本から防げる。

?選択肢ごとの解説

エ ○クリックジャッキングは、自サイトの操作画面を攻撃者のページのフレームに透明化して重ね、利用者の意図しないクリックを重要操作に変える攻撃である。X-Frame-Options(DENY/SAMEORIGIN)やContent-Security-Policyのframe-ancestorsで自サイトページの他サイトフレームへの取り込みをブラウザに拒ませれば、重ね合わせの前提となるフレーム表示自体が成立せず、攻撃を根本から防げる。
ア ×ボタンの配色変更は透明な枠で覆われていれば本来のボタンは見えないため、押し間違いを誘うクリックジャッキングには無力である。
イ ×操作後のメール通知は事後の気づきには役立つが、意図しない操作が実行される前に阻止できず未然防止にならない。
ウ ×パスワードの定期変更は認証情報の管理策であり、ログイン中の正規利用者のクリックを悪用するクリックジャッキングは防げない。

くわしく

クリックジャッキングは『正規画面を見えない形で他ページに重ねる』ことが本質で、利用者は本物を操作しているため認証や入力検証では防げない。対策はそもそも自ページを外部フレームに埋め込ませないことであり、応答ヘッダによる表示制御が決定打となる。

本番での押さえどころ

試験のコツ

クリックジャッキング対策はX-Frame-Optionsまたはframe-ancestorsで他サイトフレームへの埋め込みを禁止する応答ヘッダ。

覚え方

クリックジャッキングは『透明な板を重ねて押させる』。自分の画面を他人の額縁(フレーム)に入れさせない。

よくある誤り

見た目や事後通知、認証強化で対処しようとするが、論点は『フレームへの埋め込み』であり、それを禁止するヘッダでなければ防げない。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0104

【基本情報技術者試験】クリックジャッキングの問題 — 解答・解説|ukamiru 過去問