情報セキュリティスペシャリスト平成24年春期 午前U 問1

午前U 問1

クリックジャッキング攻撃に該当するものはどれか。
  • Webアプリケーションの脆弱性を悪用し,Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって,利用者のブラウザのキャッシュを偽造する。
  • Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し,利用者が気づかないうちに標的サイト上で不正操作を実行させる。
  • ブラウザのタブ表示機能を利用し,ブラウザの非活性なタブの中身を,利用者が気づかないうちに偽ログインページに書き換えて,それを操作させる。
  • 利用者のブラウザの設定を変更することによって,利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

クリックジャッキング攻撃は、攻撃者が用意したWebページの前面に透明化した別のWebページを重ねることでユーザを視覚的にだまし、正常に視認できるWebページ上をクリックさせることで、透明化したWebページのコンテンツを操作させる攻撃です。
01.gif/image-size:184×210
具体的には、次の手順で攻撃が成立します。
  1. ユーザがサイトAにログインしている状態で、悪意あるページを閲覧する
  2. 悪意あるページは、サイトAのページをiframe要素などによって自身のページコンテンツとして取り込む
  3. 悪意あるページは、CSSプロパティなどの設定でサイトAを透明表示にする
  4. 悪意あるページは、サイトA画面上の不正操作させたい箇所へのクリックを誘導するページを表示する
  5. 悪意あるページは、透明状態のサイトAを"3"のページの前面に配置する
  6. この状態でユーザが誘導にそってクリックをすると、意図せずに前面にあるサイトA上の操作を実行してしまう
ユーザのクリックを奪うという攻撃の特徴からクリック・ジャッキングと呼ばれます。
  • HTTPレスポンス分割攻撃の説明です。
  • 正しい。クリックジャッキング攻撃の説明です。
  • タブナビング(Tabnabbing)攻撃の説明です。
  • スパイウェアの説明です。
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop