情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ 問14: クリックジャッキング攻撃に有効な対策はどれか。

問題本文

クリックジャッキング攻撃に有効な対策はどれか。

選択肢

• ア.cookie に，HttpOnly 属性を設定する。
• イ.cookie に，Secure 属性を設定する。
• ウ.HTTP レスポンスヘッダーに，Strict-Transport-Security を設定する。
• エ.HTTP レスポンスヘッダーに，X-Frame-Options を設定する。

正解

エ. HTTP レスポンスヘッダーに，X-Frame-Options を設定する。

解説

クリックジャッキングは、透明化した攻撃者ページの裏に標的サイトを重ねて表示し、利用者に意図しないクリックをさせる攻撃。対策はページが他サイトのframe/iframeに埋め込まれることを禁止することで、HTTPレスポンスヘッダーのX-Frame-Options(やCSPのframe-ancestors)が有効。よってエが正解。実務では重要操作画面に必ず設定すべき基本対策である。

選択肢ごとの解説

• ア.HttpOnlyはスクリプトからのcookie読み取りを防ぐXSS対策で、フレーム埋め込みは防げず誤り。
• イ.SecureはHTTPS時のみcookieを送る設定で、クリックジャッキングとは無関係なので誤り。
• ウ.Strict-Transport-Securityは常時HTTPS化(HSTS)の仕組みで、フレーム重ねを防げず誤り。
• エ.X-Frame-Optionsでフレーム埋め込みを禁止でき、クリックジャッキング対策に有効で正しい。