中小企業診断士の過去問
平成28年度(2016年)
経営情報システム 問20
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
中小企業診断士試験 第1次試験 経営情報システム 平成28年度(2016年) 問20 (訂正依頼・報告はこちら)
情報セキュリティへの脅威としてのクリックジャッキング攻撃およびその対策に関する記述として、最も適切なものはどれか。
- Webページに出力するすべての要素に対して、エスケープ処理を実施することで、クリックジャッキング攻撃を防止することができる。
- WebページのHTTPレスポンスヘッダにX-Frame-Optionsヘッダフィールドを出力しないことが、クリックジャッキング攻撃への対策となる。
- クリックジャッキング攻撃とクロスサイト・リクエスト・フォージェリに共通する対策がある。
- クリックに応じた処理を実行する直前のページで再度パスワードの入力を求め、再度入力されたパスワードが正しい場合のみ処理を実行することが、クリックジャッキング攻撃とクロスサイト・スクリプティングで共通の対策となる。
正解!素晴らしいです
残念...
この過去問の解説 (1件)
01
クリックジャッキング攻撃と、その対策に関する問題です。
クリックジャッキングとは、Webサイト上に隠蔽・偽装したリンクやボタンを設置し、サイト訪問者を視覚的に騙してクリックさせるなど意図しない操作をするよう誘導させる手法です。
(出所:株式会社日立ソリューションズ・クリエイト「クリックジャッキングとは? 攻撃の仕組みと対策」(https://www.hitachi-solutions-create.co.jp/column/security/click-jacking.html)
「クリック」をあえて強調していますが、サイト訪問者が騙されてクリックしてしまうことにより被害を受ける、という点がポイントです。
エスケープ処理とは、プログラムの中で使う特殊な記号を「ただの文字」として扱いたい時に行う処理です。(出所:SENCE SHARE「エスケープ処理とは?」(https://blog.senseshare.jp/escape.html)
エスケープ処理によって、特殊な記号がただの文字になってしまうため、悪意ある処理が実行されてしまうことを防止することが出来ます。
しかしながら、エスケープ処理はクリックジャッキング攻撃の防止方法ではありません。
WebページのHTTPレスポンスヘッダにX-Frame-Optionsを指定・出力することが、クリックジャッキング攻撃への対策となります。
正解の選択肢となります。
クロスサイトスクリプティング(XSS)とは、脆弱性のある入力フォームや掲示板などに、悪意のある第三者が罠を仕掛け、個人情報などを盗む被害をもたらします。罠が仕掛けられたリンクをクリックすると、別WEBサイトに遷移し、悪意のある画面が表示され、マルウェア感染などを引き起こします。(出所:NTT PC Communications「クロスサイトスクリプティング(XSS)とは?対策・被害事例を紹介」(https://www.nttpc.co.jp/column/security/cross_site_scripting.html#)
対策としては、セキュリティサービスWAF(Web Application Firewall)の導入、エスケープ処理、サニタイジングを行う、常に最新の環境を保つ(バージョンアップにより対策される)、httpやhttpsから始まるURLのみ出力を許可する、入力値を制限する等とあり、「クリックに応じた処理を実行する直前のページで再度パスワードの入力を求め、再度入力されたパスワードが正しい場合のみ処理を実行すること」ではありません。
参考になった数1
この解説の修正を提案する
前の問題(問19)へ
平成28年度(2016年)問題一覧
次の問題(問21)へ