情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度春期 午前 問22: クリックジャッキング攻撃に該当するものはどれか。

問題本文

クリックジャッキング攻撃に該当するものはどれか。

選択肢

• ア.Web アプリケーションの脆弱性を悪用し，Web サーバに不正なリクエストを送って Web サーバからのレスポンスを二つに分割させることによって，利用者の Web ブラウザのキャッシュを偽造する。
• イ.Web サイト A のコンテンツ上に透明化した標的サイト B のコンテンツを配置し，Web サイト A 上の操作に見せかけて標的サイト B 上で操作させる。
• ウ.Web ブラウザのタブ表示機能を利用し，Web ブラウザの非活性なタブの中身を，利用者が気付かないうちに偽ログインページに書き換えて，それを操作させる。
• エ.利用者の Web ブラウザの設定を変更することによって，利用者の Web ページの閲覧履歴やパスワードなどの機密情報を盗み出す。

正解

イ. Web サイト A のコンテンツ上に透明化した標的サイト B のコンテンツを配置し，Web サイト A 上の操作に見せかけて標的サイト B 上で操作させる。

解説

クリックジャッキングは，攻撃者が用意したページの上に標的サイトのコンテンツを透明化して重ね合わせ，利用者に見えているページを操作させているように見せかけて，実際には透明な標的サイト上のボタンなどをクリックさせる攻撃である。透明化した標的サイトを重ねて意図しない操作をさせる過程を述べたイが正解である。

選択肢ごとの解説

• ア.不正リクエストでレスポンスを2つに分割させキャッシュを偽造するのは HTTP レスポンス分割（ヘッダインジェクション）攻撃の説明である。
• イ.透明化した標的サイトを重ねて表示上の操作を実際には標的サイトで行わせるのがクリックジャッキングであり，正しい。
• ウ.非活性タブの中身を偽ログインページに書き換えて操作させるのはタブナビング（tabnabbing）と呼ばれる手口であり，クリックジャッキングとは異なる。
• エ.ブラウザ設定を変更して閲覧履歴やパスワードを盗み出す行為はクリックジャッキングの定義には当てはまらない。