ITパスポート 2010年 秋期 問59
問題文
クッキー(cookie)に関する記述a~cのうち、適切なものだけをすべて挙げたものはどれか。
a Webサイトを前回閲覧した際に入力したIDやパスワードなどは、別のPCを使用して閲覧する場合でもクッキーで引き継がれるので再入力が要らない。
b インターネットカフェなどで一時的にPCを借用してWebサイトを閲覧したときは、閲覧が終わったらクッキーを消去すべきである。
c クッキーに個人情報が保存されている場合、クロスサイトスクリプティングなどで、その個人情報が盗まれることがある。
選択肢
ア:a, b
イ:a, b, c
ウ:a, c
エ:b, c(正解)
🔒 解説は解答すると表示されます
クッキー(cookie)に関する問題【ITパスポート 解説】
正解の理由
-
b が正しい理由
インターネットカフェなど不特定多数が使う端末では、あなたの閲覧情報やログイン状態を残したままにすると、次の利用者がその情報を使える可能性があります。クッキー(cookie:ウェブサイトが利用者のブラウザに保存する小さなデータ)は、閲覧終了後に消去するのが安全です。 -
c が正しい理由
クロスサイトスクリプティング(XSS:Cross‑Site Scripting。ウェブページに悪意のあるスクリプトを差し込む攻撃手法)などを使われると、JavaScript経由でアクセス可能なクッキーの中身が外部に盗まれることがあります。クッキーに個人情報やログインの手がかり(セッショントークンなど)が入っていれば、それが漏れて不正利用される危険があります。 -
a が不適切な理由
クッキーは基本的に、そのブラウザ/その端末に保存されます。別のPCで同じウェブサイトを見ても、そのPCのブラウザに同じクッキーがなければ引き継がれません(※ただし、ブラウザの「パスワード同期」など別機能でログイン情報を同期している場合は別です)。したがって a は誤りです。
解法ステップ
- 「クッキーとは何か」を確認する:ウェブサイトがブラウザに保存する小さなデータで、端末・ブラウザ単位で管理される。
- 各選択肢を端的に評価する:
- a:クッキーは端末/ブラウザ単位 → 別PCへは引き継がれない → 誤り。
- b:共用端末で個人情報やログイン状態が残るのは危険 → 消去すべき → 正しい。
- c:XSSなどでクッキーが盗まれるリスクがある → 個人情報が保存されていると危険 → 正しい。
- 正しいものだけをすべて挙げている選択肢を選ぶ → b と c のみを含むものが エ。
選択肢別の誤答解説
-
ア: a, b
a が誤りなため、この組合せは不正解です。別PCに自動でクッキーが引き継がれるわけではありません。 -
イ: a, b, c
c と b は正しいですが、a が含まれているため不正解です。 -
ウ: a, c
b(共用端末での消去の必要性)が抜けているうえに、a が誤りなので不正解です。 -
エ: b, c
b と c の両方が適切なので正解です。正答は エ。
よくある誤解
-
「クッキーは端末をまたいで自動で同期される」
→ 基本的に誤りです。クッキーはブラウザごと・端末ごとに保存されます。ブラウザのパスワード同期やアカウント連携は別の仕組みです。 -
「クッキー=パスワードがそのまま保存される」
→ 多くのサイトはパスワードをそのままクッキーに保存しません。通常は「セッションID」などのトークンを保存し、実際の個人データはサーバ側で管理します。ただし実装次第では危険な保存のされ方をする場合があるため注意が必要です。 -
「JavaScriptからアクセスできないようにすれば安全」
→ HttpOnly 属性(後述)によりJSからの読み取りを防げますが、ネットワーク上で平文送信されるなど他のリスクもあり、総合的な対策が必要です。
補足コラム
-
セッションクッキーと永続クッキー
- セッションクッキー(session cookie:ブラウザを閉じると消える一時的なクッキー)
- 永続クッキー(persistent cookie:有効期限が設定され、ブラウザを閉じても残る)
セッションクッキーはログインの「その場限り」の管理に使われ、永続クッキーは「次回から自動ログイン」などに使われます。共用端末では永続クッキーが残っていると危険度が高いです。
-
Cookie の安全向上の仕組み(例)
- HttpOnly:JavaScriptからの参照を禁止し、XSSでの窃取を防ぎやすくする。
- Secure:HTTPS 接続でのみ送信される設定(暗号化通信時のみ送る)。
- SameSite:第三者サイトからのリクエストにクッキーを送らないなど、CSRF(クロスサイトリクエストフォージェリ)対策に有効。
例:HTTP ヘッダでの設定例
Set-Cookie: sessionid=abc123; HttpOnly; Secure; SameSite=Strict; Path=/; Max-Age=3600
- 実務的な安全策
- 個人情報そのものをクッキーに保存しない。
- クッキーには短い有効期限のセッションIDだけを置き、詳細はサーバ側で管理する。
- 共用端末利用後は必ずログアウトし、可能ならブラウザの履歴とクッキーを消去する。
FAQ
Q1: クッキーを消すとログアウトになりますか?
A1: はい。セッション管理にクッキーを使っている場合、クッキーを削除するとそのセッション情報が消え、ログアウト状態になります。
A1: はい。セッション管理にクッキーを使っている場合、クッキーを削除するとそのセッション情報が消え、ログアウト状態になります。
Q2: クッキーは自動で暗号化されますか?
A2: いいえ。クッキー自体が自動で暗号化されるわけではありません。通信経路を暗号化するには HTTPS を使い、クッキーの Secure 属性を設定します。重要な情報はクッキーに直接入れないのが原則です。
A2: いいえ。クッキー自体が自動で暗号化されるわけではありません。通信経路を暗号化するには HTTPS を使い、クッキーの Secure 属性を設定します。重要な情報はクッキーに直接入れないのが原則です。
Q3: XSS(クロスサイトスクリプティング)って何ですか?
A3: XSS(Cross‑Site Scripting)は、悪意あるコード(通常はJavaScript)をウェブページに埋め込み、訪問者のブラウザでそのコードを実行させる攻撃です。これにより、JavaScript経由でクッキーが盗まれたり、不正な操作が行われたりします。
A3: XSS(Cross‑Site Scripting)は、悪意あるコード(通常はJavaScript)をウェブページに埋め込み、訪問者のブラウザでそのコードを実行させる攻撃です。これにより、JavaScript経由でクッキーが盗まれたり、不正な操作が行われたりします。
Q4: ブラウザの「パスワード保存」を使えば別PCでも自動入力されますか?
A4: ブラウザの「パスワード保存」と「クッキー」は別物です。ブラウザにパスワード保存をしていて、かつブラウザの同期機能(Googleアカウントやブラウザの同期を有効にする)を使っていれば別PCでも同期されることがあります。クッキー自体は通常同期されません。
A4: ブラウザの「パスワード保存」と「クッキー」は別物です。ブラウザにパスワード保存をしていて、かつブラウザの同期機能(Googleアカウントやブラウザの同期を有効にする)を使っていれば別PCでも同期されることがあります。クッキー自体は通常同期されません。
関連キーワード: cookie、クッキー、セッションクッキー、永続クッキー、XSS、クロスサイトスクリプティング、HttpOnly、Secure、SameSite、ブラウザ同期、プライバシー、セキュリティ、ローカルストレージ、セッショントークン、CSRF

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

