情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度秋期 午前Ⅱ 問11: クリックジャッキング攻撃に有効な対策はどれか。

問題本文

クリックジャッキング攻撃に有効な対策はどれか。

選択肢

• ア.cookie に，HttpOnly 属性を設定する。
• イ.cookie に，Secure 属性を設定する。
• ウ.HTTP レスポンスヘッダーに，Strict-Transport-Security を設定する。
• エ.HTTP レスポンスヘッダーに，X-Frame-Options を設定する。

正解

エ. HTTP レスポンスヘッダーに，X-Frame-Options を設定する。

解説

クリックジャッキングは、透明化した別サイトのページを正規ページに重ね、利用者に意図しない操作(ボタン押下など)をさせる攻撃。これにはページが他サイトのフレームに埋め込まれることを禁止するHTTPレスポンスヘッダーX-Frame-Options(またはCSPのframe-ancestors)が有効で、エが正解。実務ではフレーム埋め込み制御で重ね合わせ自体を防ぐのが定石。

選択肢ごとの解説

• ア.HttpOnlyはスクリプトからのcookie読取りを防ぐXSS対策で、フレーム重ねを防ぐ効果はない。
• イ.Secure属性はcookieをHTTPS通信に限定する対策で、クリックジャッキングには直接効かない。
• ウ.HSTSはHTTPS接続を強制する仕組みで、フレーム埋め込みによる重ね合わせは防げない。
• エ.X-Frame-Optionsで他サイトへのフレーム埋め込みを禁止でき、有効な対策そのもので正解。