ホーム > 情報処理安全確保支援士試験 > 2022年秋期

情報処理安全確保支援士試験 2022年秋期午前2 問11

クリックジャッキング攻撃に有効な対策はどれか。

ア：cookieに、HttpOnly属性を設定する。

イ：cookieに、Secure属性を設定する。

ウ：HTTPレスポンスヘッダーに、Strict-Transport-Securityを設定する。

エ：HTTPレスポンスヘッダーに、X-Frame-Optionsを設定する。（正解）

解説

クリックジャッキング攻撃に有効な対策はどれか。【午前2 解説】

要点まとめ

結論：クリックジャッキング対策にはHTTPレスポンスヘッダーのX-Frame-Options設定が有効です。
根拠：X-Frame-OptionsはWebページのiframe埋め込みを制御し、不正な画面重ね合わせを防止します。
差がつくポイント：cookie属性やHSTSは別の攻撃防御策であり、クリックジャッキングには直接効果がありません。

正解の理由

クリックジャッキングは、ユーザーが意図しない操作をさせるために、透明なiframeなどで正規のWebページを覆い隠す攻撃です。
この攻撃を防ぐには、Webページが他サイトのiframeに埋め込まれることを制限する必要があります。
X-Frame-Optionsヘッダーは「DENY」「SAMEORIGIN」などの値でiframe埋め込みを制御し、クリックジャッキングを防止します。
したがって、HTTPレスポンスヘッダーにX-Frame-Optionsを設定するエが正解です。

よくある誤解

cookieのHttpOnlyやSecure属性はクロスサイトスクリプティングや通信の安全性向上に役立ちますが、クリックジャッキング対策にはなりません。
Strict-Transport-SecurityはHTTPS強制であり、クリックジャッキングとは直接関係ありません。

解法ステップ

クリックジャッキングの攻撃手法を理解する（iframeによる画面の重ね合わせ）。
対策としてiframe埋め込み制御が必要と認識する。
X-Frame-Optionsヘッダーの役割を確認する。
cookie属性やHSTSは別の攻撃防御策であることを区別する。
選択肢の中からX-Frame-Optionsを設定するエを選ぶ。

選択肢別の誤答解説

ア: HttpOnly属性はJavaScriptからのcookieアクセスを防ぎ、XSS対策に有効ですがクリックジャッキングには無関係です。
イ: Secure属性はcookieをHTTPS通信時のみ送信させる設定で、通信の安全性向上に役立ちますがクリックジャッキング対策ではありません。
ウ: Strict-Transport-SecurityはHTTPS通信を強制するヘッダーで、通信の盗聴防止に効果的ですがクリックジャッキング防止には関係ありません。
エ: X-Frame-Optionsはiframe埋め込みを制御し、クリックジャッキング攻撃を防止するための正しい対策です。

補足コラム

近年ではX-Frame-Optionsに加え、Content-Security-Policy（CSP）のframe-ancestorsディレクティブもクリックジャッキング対策として利用されます。
CSPはより柔軟な制御が可能で、複数のドメイン指定や条件付き制御ができます。
しかし基本的な対策としてはX-Frame-Optionsの設定が広く普及しています。

FAQ

Q: クリックジャッキング攻撃とは何ですか？
A: ユーザーが意図しない操作をさせるために、透明なiframeなどで正規ページを覆い隠しクリックを誘導する攻撃です。

Q: X-Frame-Optionsの主な設定値は何ですか？
A: DENY（全てのiframe埋め込み禁止）、SAMEORIGIN（同一オリジンのみ許可）、ALLOW-FROM（特定のURLのみ許可）があります。

Q: HttpOnly属性はクリックジャッキングに効果がありますか？
A: いいえ。HttpOnlyはJavaScriptからのcookieアクセスを防ぐもので、クリックジャッキング対策にはなりません。

関連キーワード: クリックジャッキング, X-Frame-Options, iframe, Webセキュリティ, HTTPヘッダー, CSP, Strict-Transport-Security, HttpOnly, Secure属性

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2022年 秋期 午前2 問11

解説