ホーム > 情報処理安全確保支援士試験 > 2012年 春期
情報処理安全確保支援士試験 2012年 春期 午前2 問01
クリックジャッキング攻撃に該当するものはどれか。
ア:Web アプリケーションの脆弱性を悪用し, Web サーバに不正なリクエストを送って Web サーバからのレスポンスを二つに分割させることによって、 利用者のブラウザのキャッシュを偽造する。
イ:Web ページのコンテンツ上に透明化した標的サイトのコンテンツを配置し,利用者が気づかないうちに標的サイト上で不正操作を実行させる。(正解)
ウ:ブラウザのタブ表示機能を利用し, ブラウザの非活性なタブの中身を、 利用者が気づかないうちに偽ログインページに書き換えて, それを操作させる。
エ:利用者のブラウザの設定を変更することによって,利用者の Web ページの閲覧履歴やパスワードなどの機密情報を盗み出す。
解説
クリックジャッキング攻撃に該当するものはどれか。【午前2 解説】
要点まとめ
- 結論:クリックジャッキング攻撃は透明化した別サイトのコンテンツを重ねて不正操作を誘発する攻撃手法です。
- 根拠:利用者が見ている画面とは異なる透明なレイヤー上で操作をさせるため、気づかずに不正なクリックを誘導します。
- 差がつくポイント:攻撃の特徴は「透明化した標的サイトのコンテンツを重ねる」ことと「利用者の意図しない操作を強制する」点にあります。
正解の理由
選択肢イは、透明化した標的サイトのコンテンツをWebページ上に重ねて利用者に気づかれずに不正操作を実行させると説明しています。これはクリックジャッキングの典型的な手法であり、利用者のクリックを騙して別の操作をさせる攻撃そのものです。したがって、イが正解です。
よくある誤解
クリックジャッキングは単なる脆弱性攻撃や情報盗難ではなく、ユーザーの操作を騙す「UIの欺瞞」による攻撃です。透明化や重ね合わせがポイントです。
解法ステップ
- クリックジャッキングの定義を確認する(透明なレイヤーで不正操作を誘発)。
- 各選択肢の説明から「透明化したコンテンツの重ね合わせ」があるかを探す。
- 利用者の意図しない操作を強制する内容かを判断する。
- それに該当する選択肢を選ぶ。
選択肢別の誤答解説
- ア:Webサーバのレスポンス分割やキャッシュ偽造はクリックジャッキングではなく、HTTPレスポンス分割攻撃に近い。
- イ:透明化した標的サイトのコンテンツを重ねて不正操作を誘発するためクリックジャッキングの正解。
- ウ:ブラウザのタブの内容を書き換える攻撃はフィッシングやセッションハイジャックに近く、クリックジャッキングとは異なる。
- エ:ブラウザ設定の変更による情報盗難はマルウェアや設定改ざん攻撃であり、クリックジャッキングではない。
補足コラム
クリックジャッキング対策としては、X-Frame-OptionsヘッダーやContent Security Policy(CSP)のframe-ancestorsディレクティブを用いて、他サイトからのiframe埋め込みを制限する方法が一般的です。これにより透明なレイヤーによる重ね合わせを防止できます。
FAQ
Q: クリックジャッキングはどのように防止できますか?
A: X-Frame-OptionsヘッダーやCSPのframe-ancestorsを設定し、他サイトからのiframe埋め込みを禁止することが有効です。
A: X-Frame-OptionsヘッダーやCSPのframe-ancestorsを設定し、他サイトからのiframe埋め込みを禁止することが有効です。
Q: クリックジャッキングとフィッシングの違いは何ですか?
A: クリックジャッキングはユーザーの操作を騙すUIの欺瞞攻撃で、フィッシングは偽サイトで情報を騙し取る攻撃です。
A: クリックジャッキングはユーザーの操作を騙すUIの欺瞞攻撃で、フィッシングは偽サイトで情報を騙し取る攻撃です。
関連キーワード: クリックジャッキング, X-Frame-Options, CSP, UI欺瞞攻撃, Webセキュリティ, iframe, 不正操作誘導