●クリックジャッキングとは
攻撃者が用意した悪意のあるWebページを透明化し、普通のWebページに重ねることで、Web利用者に誤って悪意のあるWebページをクリックさせる行為。
●出題された回(平成29年度春期以降)
令和3年度春期
クリックジャッキングの説明
クリックジャッキングとは、攻撃者が用意したWebページを透明化し、他のページに重ねることで、利用者に誤って攻撃者のWebページをクリックさせるように誘導する行為です。ジャッキングはjackに~ingをつけたもので、jackはハイジャックやバスジャックのジャックです。なので、クリックジャッキングはクリックを乗っ取る行為ということですね。
クリックジャッキングでは、まず、悪意があるWebページと一見普通に見えるWebページを用意します。そして、悪意があるWebページを透明にして、一見普通に見えるWebページに重ねます。
利用者からは一見普通のWebページに見えるので、警戒することなく操作しますが、実は透明になっている悪意があるWebページを操作しているようになっているので、意図せず情報を漏洩してしまったり、振り込んでしまったりということがあります。
クリックジャッキング対策
自分自身が作成したWebページに攻撃者のWebページを重ねられないようにするために、X-Frame-Optionsを設定する方法があります。
X-Frame-Options:DENYにすると、
他のWebページを埋め込むことを完全に禁止出来ます。
X-Frame-Options:SAMEORIGINにすると、
同じサイト内にあるWebページの埋め込みは出来ますが、外部サイトのWebページを埋め込むことを完全に禁止に出来ます。
過去問
応用情報技術者 午前試験
令和3年度春期問37
Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。
ア HTTPレスポンスヘッダにX-Content-Type-Optionsを設定する。
イ HTTPレスポンスヘッダにX-Frame-Optionsを設定する。
ウ 入力にHTMLタグが含まれていたら、HTMLタグとして解釈されないほかの文字列に置き換える。
エ 入力文字数が制限を超えているときは受け付けない。
正解は”イ”
X-Frame-Optionsを設定するとクリックジャッキング攻撃を対策できます。よって正解は”イ”です。
