ホーム > 情報処理安全確保支援士試験 > 2024年秋期

情報処理安全確保支援士試験 2024年秋期午前2 問14

クリックジャッキング攻撃に有効な対策はどれか。

ア：cookieに, HttpOnly属性を設定する。

イ：cookieに, Secure属性を設定する。

ウ：HTTPレスポンスヘッダーにStrict-Transport-Securityを設定する。

エ：HTTPレスポンスヘッダーにX-Frame-Optionsを設定する。（正解）

解説

クリックジャッキング攻撃は、ユーザーが意図しない操作をブラウザ上で行わせる攻撃手法です。具体的には、攻撃者が透明なレイヤーや見えにくいボタンを重ねて表示し、ユーザーが気づかないうちに悪意のあるボタンやリンクをクリックさせてしまいます。

この攻撃を防ぐために有効な対策は、Webページが他のサイトのiframeに組み込まれることを制御することです。これによって、攻撃者のページに自分のページがiframeで表示されなくなり、クリックジャッキングのリスクを下げることができます。

具体的には、HTTPレスポンスヘッダーに以下のような設定を行います。

X-Frame-Options ヘッダー
これにより、ブラウザはページのiframe埋め込みを許可するかどうか判断します。設定例は以下の通りです。
- DENY：どのサイトからのiframe埋め込みも禁止
- SAMEORIGIN：同一オリジンからのiframe埋め込みのみ許可
- ALLOW-FROM uri：指定したオリジンからのiframe埋め込みのみ許可

この設定により、攻撃者のサイトが自分のサイトをiframeに埋め込んでクリックジャッキングを仕掛けることができなくなります。

ア: HttpOnly属性
これはCookieがJavaScriptから読み取れなくなる属性で、XSS攻撃対策に有効です。ただしクリックジャッキングには直接効果がありません。
イ: Secure属性
これはCookieがHTTPS通信時のみブラウザに送信されるようにする属性で、クッキーの安全な通信を支援します。クリックジャッキング対策とは関係ありません。
ウ: Strict-Transport-Security (HSTS)
これはブラウザに対し、常にHTTPS接続を強制する設定です。通信の安全性向上にはつながりますが、クリックジャッキングの防止には効果がありません。

クリックジャッキング対策は、サイトの表示が他サイトのiframeに埋め込まれないようにすることが基本です。これを実現するのが、HTTPレスポンスヘッダーのX-Frame-Optionsの設定です。したがって、正しい答えは「エ」となります。