情報セキュリティマネジメント試験 過去問解説
過去問とは?情報セキュリティマネジメント試験 平成28年度春期 午前 問22を解説
情報セキュリティマネジメント試験 平成28年度春期 午前 問22は、過去問に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
クリックジャッキング攻撃に該当するものはどれか。
この問題の出題ポイント
- 過去問の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アWeb アプリケーションの脆弱性を悪用し,Web サーバに不正なリクエストを送って Web サーバからのレスポンスを二つに分割させることによって,利用者の Web ブラウザのキャッシュを偽造する。
- イWeb サイト A のコンテンツ上に透明化した標的サイト B のコンテンツを配置し,Web サイト A 上の操作に見せかけて標的サイト B 上で操作させる。正解
- ウWeb ブラウザのタブ表示機能を利用し,Web ブラウザの非活性なタブの中身を,利用者が気付かないうちに偽ログインページに書き換えて,それを操作させる。
- エ利用者の Web ブラウザの設定を変更することによって,利用者の Web ページの閲覧履歴やパスワードなどの機密情報を盗み出す。
正解
イ: Web サイト A のコンテンツ上に透明化した標的サイト B のコンテンツを配置し,Web サイト A 上の操作に見せかけて標的サイト B 上で操作させる。
解説
クリックジャッキングは,攻撃者が用意したページの上に標的サイトのコンテンツを透明化して重ね合わせ,利用者に見えているページを操作させているように見せかけて,実際には透明な標的サイト上のボタンなどをクリックさせる攻撃である。透明化した標的サイトを重ねて意図しない操作をさせる過程を述べたイが正解である。
なぜ他の選択肢が違うのか
ア
不正リクエストでレスポンスを2つに分割させキャッシュを偽造するのは HTTP レスポンス分割(ヘッダインジェクション)攻撃の説明である。
イ(正解)
透明化した標的サイトを重ねて表示上の操作を実際には標的サイトで行わせるのがクリックジャッキングであり,正しい。
ウ
非活性タブの中身を偽ログインページに書き換えて操作させるのはタブナビング(tabnabbing)と呼ばれる手口であり,クリックジャッキングとは異なる。
エ
ブラウザ設定を変更して閲覧履歴やパスワードを盗み出す行為はクリックジャッキングの定義には当てはまらない。
解き方の整理
過去問の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。