【情報処理安全確保支援士試験 令和4年度 春期 午後2 問1 No.3】
情報処理安全確保支援士試験 令和4年度 春期 午後2 問1
【出典:情報処理安全確保支援士試験 令和4年度 春期 午後2 問1(一部、加工あり)】
[サイトXのクリックジャッキング脆弱性]
サイトXでは、クリックジャッキングによって、利用者が気付かずに利用者情報の公開範囲を変更させられてしまう脆弱性が検出された。攻撃者が図3の画面を用いてクリックジャッキングを行う場合を仮定してみる。このとき、クリックイベントは、利用者から見て手前にある画面上で発生するものとする。
攻撃者は、画面(c)を利用者から見て(d)に(e)状態で罠サイトに公開し、サイトXの画面(f)を利用者から見て(g)に(h)状態で重ねて表示する。この状態のサイトにアクセスした利用者は、意図せず利用者情報の公開範囲を変更させられてしまう可能性がある。
クリックジャッキング脆弱性の対策には、レスポンスヘッダに(i)を含める方法を(j)を含める方法がある。後者は標準化されている。
c:β、d:奥、e:可視の、f:α、g:手前、h:透明な
「攻撃者は、画面(c)を利用者から見て(d)に(e)状態で罠サイトに公開し、サイトXの画面(f)を利用者から見て(g)に(h)状態で重ねて表示する。この状態のサイトにアクセスした利用者は、意図せず利用者情報の公開範囲を変更させられてしまう可能性がある。」
クリックジャッキングとは文字通りクリックを乗っ取るという意味合いで、Webページ上に攻撃者が用意した透明なコンテンツを配置し、利用者が気付かないうちに不正操作を実行させる攻撃です。
問題文では、「意図せず利用者情報の公開範囲を変更させられてしまう可能性がある。」とあることから、図3(攻撃者が用いる画面)の画面αが透明なコンテンツとして配置されることになります。
そして、画面α(透明)の奥に画面β(攻撃者が準備したコンテンツ)を配置することで、利用者には画面βが表示された状態になりますが、クリックすると実際には画面αの画面操作となります。
したがって、「攻撃者は、画面βを利用者から見て奥に可視の状態で罠サイトに公開し、サイトXの画面αを利用者から見て手前に透明な状態で重ねて表示する。」となります。
i:X-Frame-Options、j:Content-Security-Policy
「クリックジャッキング脆弱性の対策には、レスポンスヘッダに(i)を含める方法を(j)を含める方法がある。」
クリックジャッキング脆弱性の対策には、攻撃者のWebサイト内で正当なWebサイトがiframeとして表示されないようにすることが挙げられます。
Webサーバがブラウザに応答するHTTPレスポンスヘッダで、同じドメイン内でのifameに限りページ表示を許可する設定として以下の2つがあります。
- X-Frame-Options:SAMEORIGIN
- Content-Security-Policy:frame-ancestors ‘self’