平成24年春期 情報セキュリティスペシャリスト 午前II 問1

クリックジャッキング攻撃に該当するものはどれか。

ア Web アプリケーションの脆弱性を悪用し, Web サーバに不正なリクエストを送って Web サーバからのレスポンスを二つに分割させることによって, 利用者のブラウザのキャッシュを偽造する。
イ Web ページのコンテンツ上に透明化した標的サイトのコンテンツを配置し, 利用者が気づかないうちに標的サイト上で不正操作を実行させる。
ウ ブラウザのタブ表示機能を利用し, ブラウザの非活性なタブの中身を, 利用者が気づかないうちに偽ログインページに書き換えて, それを操作させる。
エ 利用者のブラウザの設定を変更することによって, 利用者の Web ページの閲覧履歴やパスワードなどの機密情報を盗み出す。


こぼる
「クジャクのジャングル?」

ジョブりんご
「馬鹿。『クリック』を『ジャック』(ハイジャックなどのジャック)する、つまりクリック操作を乗っ取る攻撃。
まず、【悪意なさそうなサイト】の上に、ユーザが普段使っているサイトを透明に被せる。
普段使っているサイトの画面の、操作をするボタンの位置に、【悪意なさそうなサイト】のボタンを下に置く。
つまり、【悪意なさそうなサイト】のボタンを押したと思っているのに、
普段使っているサイトの画面(透明になってる)の操作を知らずにしてしまう。
知られている被害では、メールの全消去をさせてしまったり、twitterでフォローを知らずにしていたりする。」

こぼる
「ひぇー。。twitterで知らずに下ネタつぶやいてたんだけど、これはクリックジャッキングかな?」

ジョブりんご
「テンションあがってたんじゃないか?中学生の下ネタは大人が興奮するから気をつけたほうがいいな。」

こぼる
「ってーことは、答えはイね。」

ジョブりんご
「他の選択肢の用語も調べなさい。」

こぼる
「えー。(iPhoneいじる)
アは、HTTPレスポンス分割攻撃かな。
プロキシサーバに、有名なURLとひもづけて、自分(ワル)のサーバを登録しておく。
自分(ワル)は有名なURLのレスポンスヘッダに、自分(ワル)の悪いデータを紛れ込ませるように仕掛ける。
そのプロキシサーバ経由でURLにアクセスする人は、
知らずに自分(ワル)からのレスポンスを受けとっちゃって、フィッシング的な。」

ジョブりんご
「日本語でおk…だが、選択肢アが日本語なので、許そう。」

こぼる
「ウは、タブナビング攻撃。たぶんナビング。」

ジョブりんご
「たぶん?」

こぼる
「自分(ワル)のブログを表示させて、ユーザが他のサイトを徘徊してる間に、
自分(ワル)のブログのタブが、Gmailのログイン画面に切り替わる。でも、URLは自分(ワル)のサイトのまま。
でも、画面そっくりだし、ファビコンもGmailのものなので、気付かない。
このときにGmailのアドレスとパスワードを入れると、どっかーん!」

ジョブりんご
「ワイルドだな。」

こぼる
「エは、スパイウェア。
今はスパイウェアもウイルスと同等になってるわね。
コンピュータに悪さはしないけど、情報とか見たページとかを抜くんでしょ。」

ジョブりんご
「知っていたか?」

こぼる
「名前くらいは。。」

ジョブりんご
「Microsoftのスパイをやらないか?」

こぼる
「ウホッ!いい仕事!」