情報処理安全確保支援士 2024年秋期午前2 問14

問題文

クリックジャッキング攻撃に有効な対策はどれか。

選択肢

ア：cookieに、HttpOnly属性を設定する。

イ：cookieに、Secure属性を設定する。

ウ：HTTPレスポンスヘッダーにStrict-Transport-Securityを設定する。

エ：HTTPレスポンスヘッダーにX-Frame-Optionsを設定する。（正解）

クリックジャッキング攻撃に有効な対策はどれか。【午前2 解説】

要点まとめ

結論：クリックジャッキング対策にはHTTPレスポンスヘッダーのX-Frame-Options設定が有効です。
根拠：X-Frame-OptionsはWebページのiframe埋め込みを制御し、不正な画面重ね合わせを防止します。
差がつくポイント：cookie属性やStrict-Transport-Securityは別のセキュリティ対策であり、クリックジャッキング防止には直接関係しません。

正解の理由

クリックジャッキング攻撃は、ユーザーが意図しない操作をさせるために、透明なiframeなどで正規ページを覆い隠す手法です。
X-Frame-Optionsヘッダーを設定することで、他サイトからのiframe埋め込みを拒否または制限でき、攻撃を防止できます。
したがって、選択肢エの「HTTPレスポンスヘッダーにX-Frame-Optionsを設定する」が正解です。

よくある誤解

cookieのHttpOnlyやSecure属性はクロスサイトスクリプティング対策や通信の安全性向上に有効ですが、クリックジャッキング防止には効果がありません。
Strict-Transport-SecurityはHTTPS強制のためのヘッダーであり、クリックジャッキングとは無関係です。

解法ステップ

クリックジャッキング攻撃の特徴を理解する（iframeによる画面の重ね合わせ）。
対策としてiframe埋め込み制御が必要なことを認識する。
X-Frame-Optionsヘッダーの役割を確認する（iframeの許可・拒否設定）。
cookie属性やStrict-Transport-Securityの目的と違いを区別する。
X-Frame-Optionsを設定する選択肢を選ぶ。

選択肢別の誤答解説

ア: HttpOnly属性はJavaScriptからのcookieアクセスを防ぎ、XSS対策に有効ですがクリックジャッキングには無関係です。
イ: Secure属性はcookieをHTTPS通信時のみ送信する設定で、通信の安全性向上に役立ちますがクリックジャッキング防止には効果がありません。
ウ: Strict-Transport-SecurityはHTTPS接続を強制するヘッダーであり、クリックジャッキングの防止とは関係ありません。
エ: X-Frame-Optionsはiframeによるページ埋め込みを制御し、クリックジャッキング攻撃を防止するための正しい対策です。

補足コラム

近年ではX-Frame-Optionsに加え、Content-Security-Policy（CSP）のframe-ancestorsディレクティブもクリックジャッキング対策として注目されています。
CSPはより柔軟な制御が可能で、複数のドメイン指定や詳細なポリシー設定が可能です。

FAQ

Q: X-Frame-Optionsにはどんな値があるのですか？
A: 主にDENY（全てのiframe埋め込み拒否）、SAMEORIGIN（同一オリジンのみ許可）、ALLOW-FROM（特定のURLのみ許可）があります。

Q: cookieのHttpOnly属性はクリックジャッキングに効果がありますか？
A: いいえ。HttpOnlyはJavaScriptからのcookieアクセスを防ぐもので、クリックジャッキングとは無関係です。

Q: Strict-Transport-Securityは何のためのヘッダーですか？
A: HTTPS通信を強制し、中間者攻撃を防ぐためのセキュリティヘッダーです。

関連キーワード: クリックジャッキング、X-Frame-Options, iframe, HttpOnly属性、Secure属性、Strict-Transport-Security, CSP, Content-Security-Policy

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！