分野 ：テクノロジ系
中分類：セキュリティ
小分類：セキュリティ実装技術

クリックジャッキング攻撃は、攻撃者が用意したWebページの前面に透明化した別のWebページを重ねることでユーザーを視覚的にだまし、正常に視認できるWebページ上をクリックさせることで、透明化したWebページのコンテンツを操作させる攻撃です。攻撃者が用意したページに利用されるおそれがあるのは、ログイン機能のある登録制サイトのユーザー情報の設定変更を行うページやユーザーが投稿を行うページなどです。攻撃者はクリックにより操作が行われる外部サイトのページをiframe要素やframe要素（以下、フレーム要素という）などで読み込み、不透明度を設定するCSSのopacityプロパティなどで透明化し、悪意のあるページに覆いかぶさるように表示します。見かけ上はアクション操作を行うページには見えないので、ユーザーは単なる閲覧ページでクリックを行っただけのつもりが、フレーム上のクリックと判定され意図しない操作（会員情報の変更や投稿サイトへの投稿）が行われる被害を受けることになります。

クリックジャッキング攻撃を防ぐために用意されているHTTPレスポンスヘッダー―が「X-Frame-Options」です。X-Frame-Optionsが設定されたWebページは、他ドメインサイト内のフレーム要素に読み込まれることが禁止されます。フレーム要素に埋め込まれることを想定していないWebページでは、X-Frame-Optionsを設定しておくことがクリックジャッキング攻撃で不正操作されることへの対策となります。

なお、X-Frame-Optionsに設定することのできる値は次の2つです。

SAMEORIGIN

同じオリジン（スキーム、ホスト名、ポート番号の組合せ）のページに限りフレーム内に表示することを許可する

DENY

フレーム内に表示することを許可しない

• HttpOnly属性はcookieに指定する属性で、そのcookieがHTML内のスクリプトからアクセスできないように制限するものです。クロスサイトスクリプティングによるcookieの漏えいを防ぐことができますが、cookie漏えい以外の被害を防ぐことはできません。
• Secure属性はcookieに指定する属性で、HTTPS通信であるときのみブラウザからサーバにそのcookieが送信されるように制限するものです。盗聴や改ざんの可能性があるHTTPのURLでアクセスした場合にcookieを送信しないようにSecure属性を指定します。
• Strict-Transport-Securityは、WebサイトにHTTPSで接続することをWebブラウザに強制するHTTPレスポンスヘッダーです。HSTS(HTTP Strict Transport Security)とも呼ばれます。HTTPアクセス(非暗号化通信)してきた人に対する中間者攻撃を防ぐために指定されます。
• 正しい。X-Frame-Optionsは、Webページがフレーム要素に読み込まれることを禁止するためのHTTPレスポンスヘッダーです。