中小企業診断士の過去問 平成28年度(2016年) 経営情報システム 問20
この過去問の解説 (1件)
クリックジャッキング攻撃と、その対策に関する問題です。
クリックジャッキングとは、Webサイト上に隠蔽・偽装したリンクやボタンを設置し、サイト訪問者を視覚的に騙してクリックさせるなど意図しない操作をするよう誘導させる手法です。
(出所:株式会社日立ソリューションズ・クリエイト「クリックジャッキングとは? 攻撃の仕組みと対策」(https://www.hitachi-solutions-create.co.jp/column/security/click-jacking.html)
「クリック」をあえて強調していますが、サイト訪問者が騙されてクリックしてしまうことにより被害を受ける、という点がポイントです。
エスケープ処理とは、プログラムの中で使う特殊な記号を「ただの文字」として扱いたい時に行う処理です。(出所:SENCE SHARE「エスケープ処理とは?」(https://blog.senseshare.jp/escape.html)
エスケープ処理によって、特殊な記号がただの文字になってしまうため、悪意ある処理が実行されてしまうことを防止することが出来ます。
しかしながら、エスケープ処理はクリックジャッキング攻撃の防止方法ではありません。
WebページのHTTPレスポンスヘッダにX-Frame-Optionsを指定・出力することが、クリックジャッキング攻撃への対策となります。
正解の選択肢となります。
クロスサイトスクリプティング(XSS)とは、脆弱性のある入力フォームや掲示板などに、悪意のある第三者が罠を仕掛け、個人情報などを盗む被害をもたらします。罠が仕掛けられたリンクをクリックすると、別WEBサイトに遷移し、悪意のある画面が表示され、マルウェア感染などを引き起こします。(出所:NTT PC Communications「クロスサイトスクリプティング(XSS)とは?対策・被害事例を紹介」(https://www.nttpc.co.jp/column/security/cross_site_scripting.html#)
対策としては、セキュリティサービスWAF(Web Application Firewall)の導入、エスケープ処理、サニタイジングを行う、常に最新の環境を保つ(バージョンアップにより対策される)、httpやhttpsから始まるURLのみ出力を許可する、入力値を制限する等とあり、「クリックに応じた処理を実行する直前のページで再度パスワードの入力を求め、再度入力されたパスワードが正しい場合のみ処理を実行すること」ではありません。
解説が空白の場合は、広告ブロック機能を無効にしてください。
また、広告右上の×ボタンを押すと広告の設定が変更できます。