応用情報技術者 2021年 春期 午前2 問37
問題文
Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。
選択肢
ア:HTTPレスポンスヘッダに X-Content-Type-Optionsを設定する。
イ:HTTPレスポンスヘッダに X-Frame-Optionsを設定する。(正解)
ウ:入力に HTML タグが含まれていたら、HTML タグとして解釈されないほかの文字列に置き換える。
エ:入力文字数が制限を超えているときは受け付けない。
クリックジャッキング攻撃の対策【午前2 解説】
要点まとめ
- 結論:クリックジャッキング対策には、HTTPレスポンスヘッダの「X-Frame-Options」を設定することが有効です。
- 根拠:「X-Frame-Options」はWebページのiframe埋め込みを制御し、不正なフレーム内表示を防止します。
- 差がつくポイント:クリックジャッキングはユーザーの意図しない操作を誘発する攻撃であり、フレーム制御が最も直接的な防御策です。
正解の理由
イ: HTTPレスポンスヘッダに X-Frame-Optionsを設定する。は、Webページが他サイトのiframeに埋め込まれることを制限し、クリックジャッキング攻撃を防ぎます。これにより、攻撃者が透明なボタンなどを重ねてユーザーを騙す手法を無効化できます。
よくある誤解
X-Content-Type-OptionsはMIMEタイプの誤解釈防止であり、クリックジャッキング対策にはなりません。入力のHTMLタグ無効化や文字数制限も別の攻撃防止策であり、クリックジャッキングとは直接関係ありません。
解法ステップ
- クリックジャッキング攻撃の特徴を理解する(iframeを悪用しユーザー操作を騙す)。
- 対策としてiframeの埋め込み制御が必要と認識する。
- HTTPレスポンスヘッダの「X-Frame-Options」がiframe制御に使われることを知る。
- 選択肢の中でiframe制御に関係するものを選ぶ。
選択肢別の誤答解説
- ア: X-Content-Type-OptionsはMIMEタイプのスニッフィング防止であり、クリックジャッキングとは無関係です。
- ウ: HTMLタグの無効化はクロスサイトスクリプティング(XSS)対策であり、クリックジャッキングには効果がありません。
- エ: 入力文字数制限はバッファオーバーフローやDoS対策に関連し、クリックジャッキング対策ではありません。
補足コラム
クリックジャッキング対策には「X-Frame-Options」の他に、より柔軟な「Content-Security-Policy(CSP)」の
frame-ancestorsディレクティブもあります。これにより、許可するドメインを細かく指定可能です。現在はCSPの利用が推奨されるケースも増えています。
FAQ
Q: X-Frame-Optionsにはどんな値があるのですか?
A: 主に「DENY」(全てのiframe埋め込み禁止)、「SAMEORIGIN」(同一オリジンのみ許可)、「ALLOW-FROM」(特定のURLのみ許可)があります。
A: 主に「DENY」(全てのiframe埋め込み禁止)、「SAMEORIGIN」(同一オリジンのみ許可)、「ALLOW-FROM」(特定のURLのみ許可)があります。
Q: クリックジャッキングはどんな被害がありますか?
A: ユーザーが意図しない操作をさせられ、個人情報の漏洩や不正な取引が行われるリスクがあります。
A: ユーザーが意図しない操作をさせられ、個人情報の漏洩や不正な取引が行われるリスクがあります。
関連キーワード: クリックジャッキング、X-Frame-Options, HTTPヘッダ、Webセキュリティ、iframe制御
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!