今日は情報のH28第20問について解説します。
情報セキュリティへの脅威としてのクリックジャッキング攻撃およびその対策に関する記述として、最も適切なものはどれか。
ア Webページに出力するすべての要素に対して、エスケープ処理を実施することで、クリックジャッキング攻撃を防止することができる。
イ WebページのHTTPレスポンスヘッダにX-Frame-Options ヘッダフィールドを出力しないことが、クリックジャッキング攻撃への対策となる。
ウ クリックジャッキング攻撃とクロスサイト・リクエスト・フォージェリに共通する対策がある。
エ クリックに応じた処理を実行する直前のページで再度パスワードの入力を求め、再度入力されたパスワードが正しい場合のみ処理を実行することが、クリックジャッキング攻撃とクロスサイト・スクリプティングで共通の対策となる。
解説
クリックジャッキング攻撃とその対策に関する問題です。クリックジャッキング攻撃とは、罠となるページの上に別のサイトのページを透明にして重ね合わせ(フレーム機能を利用します)、ユーザーが罠ページをマウスでクリックすると、重ね合わせた別サイトのページの同じ場所にあるボタンの操作が行われるようにしたものです。見た目ではわからないですが、対象となる処理は「マウス操作のみで実行可能なもの」に限られます。
それでは早速、各選択肢を見ていきましょう。
選択肢ア:エスケープ処理とは、Webページで入力された値にJavaScriptなどの処理を表す文字が含まれていた際に、その文字を別の文字に置き換えて不正なスクリプトを実行させないようにする対策です。マウスクリックを対象とするクリックジャッキング攻撃の防止にはなりません。
よって、この選択肢は×です。
選択肢イ:WebページのHTTPレスポンスヘッダにX-Frame-Options ヘッダフィールドを出力しないように設定すると、フレーム機能で重ねられた別サイトの表示を拒否できなくなります。HTTPレスポンスヘッダにX-Frame-Options指定・出力することが、クリックジャッキング攻撃への対策となります。
よって、この選択肢は×です。
選択肢ウ:クロスサイト・リクエスト・フォージェリとは、Webアプリケーションの脆弱性を利用した攻撃方法のことです。会員制の掲示板に利用者がアクセスした際に、利用者が意図しない不正な投稿処理などを行わせるものです。クリックジャッキング攻撃と同様、標的となるWebサイトに外部サイトからの表示を拒否するという設定を行うことで対策できます。
よって、この選択肢は〇です。
選択肢エ:クロスサイト・スクリプティングとは、標的となるWebサイトに対して不正なスクリプトをユーザーのWebブラウザ上で実行させる攻撃です。対策は、Webページに不正な値を入力させないことや入力された値に対するエスケープ処理を行うことになりますので、クリックジャッキング攻撃への対策とは異なります。
よって、この選択肢は×です。
以上から、正解は選択肢ウとなります。