クリックジャッキングとは何か

クリックジャッキングとは、
・正常な機能で提供しているボタンが、実は別の機能を持たせた悪意の機能を付加したボタンに変化させていた・・・

などの手法による悪意のある攻撃手法である。

例えば透明化しておいた別のページを表示ページの上にかぶせておくなど。

実例

Flashを利用し、Webカメラやマイクを作動させる
ソーシャル・ネットワーキング・サービスのプロフィールの公開設定を変更させる
Twitterで誰かをフォローさせる[8]
Facebookでリンクをシェアさせる[9][10]

すげー。

オープンリダイレクトとは何か

オープンリダイレクトとはWebブラウザによるインターネット上のサイトアクセスに関して、入力したサイトから他のサイトへ自動的に移動する機能のこと。

クロスサイトリクエストフォージェリとは何か

クロスサイトリクエストフォージェリ（CSRF:Cross-Site Request Forgeries）

Webアプリケーションの脆弱性の一種。
結果として代理書き込みや代理商品購入をしてしまう。
（書き込みをしたり、商品購入をしてしまったのは自分のアカウント、と言う扱い。自分のアカウントが悪意あるサーバーなどにコントロールされてしまう。）


----
CSRFはユーザーが会員サイトにログインしている状態で攻撃者が作成した偽サイトを閲覧すると、ユーザーがログインしている会員サイトへ強制的に悪意のあるリクエストが送信されてしまう攻撃です。フォームへの書き込みや商品の購入など本来ログインしているユーザーのみが可能な操作のはずが、CSRFによりユーザーが認識していないところで勝手に書き込みや商品を購入されてしまいます。
----

この攻撃の対策として有効なもの、無効なものは何か。

・（有効）ウェブサイト閲覧において、重要な操作シーンの場合は、都度、利用者に入力させる。
　CSRFはログイン後攻撃なので、PW再入力は対策として有効。
・（有効）ログイン後に毎回異なる値をｈｔｔｐレスポンスに含める。
　ブラウザからのリクエストごとに送付されるその値を、ウェブサーバ側で照合する。
・（有効）リファラ確認をして、遷移元が正しいと確認する。

尚、XSS（クロスサイトスクリプティング）と言う似たようなものもある。
XSSは、スクリプト付のリンクを貼る、悪意のあるスクリプトの書き込み等をし、ブラウザでそのＨＰを参照した場合に悪意のスクリプトが挙動できるようにするもの。

ＣＲＹＰＴＲＥＣ暗号リストとは何か

ＣＲＹＰＴＲＥＣ　Cryptography Research and Evaluation Committees

直訳だと「暗号の研究及び評価委員会」となる。
これは日本政府発のプロジェクトで、総務省と経産省が合同策定したプロジェクトの一つで、
正しくは
「電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト」
のことらしい。

成立経緯は以下。

「我が国が目指す世界最戦隊のＩＴ国家を構築するには、基盤となる電子政府のセキュリティを確保する必要があり、安全性に優れた暗号技術を利用することが不可欠である。この目的のため、客観的な評価により安全性及び実装性に優れると判断された暗号技術をリスト化する暗号技術評価プロジェクトが2000年度から3年間の予定で組織化され、ＣＲＹＰＴＲＥＣ（Cryptography Research and Evaluation Committees）と名付けられた。」

ここで問いと回答を見てみよう。

----
令和元年　秋季　情報処理安全確保支援士　パーフェクトラーニング過去問題集　Ｐ４６

問９

総務省および経済産業省が策定した”電子政府における調達のために参照すべき暗号のリスト（ＣＲＹＰＴＲＥＣ暗号リスト）”に関する記述のうち、適切なものはどれか。

ア　ＣＲＹＰＴＲＥＣ暗号リストにある運用監視暗号リストとは、運用監視システムにおける利用実績が十分であると判断され、電子政府において利用を推奨する暗号技術のリストである。

イ　ＣＲＹＰＴＲＥＣ暗号リストにある証明書失効リストとは、政府共用認証局が公開している、危殆化した暗号技術のリウsとである。

ウ　ＣＲＹＰＴＲＥＣ暗号リストにある推奨候補暗号リストとは、安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。

エ　ＣＲＹＰＴＲＥＣ暗号リストにある電子政府推奨暗号リストとは、互換性維持目的に限った継続利用を推奨する暗号技術のリストである。


----


チェックしてみよう。

アの「運用監視暗号リスト」・・・

実際に解読されるリスクが高まるなど、推奨すべき状態ではなくなった暗号技術／互換性維持の目的以外での利用は推奨されない。
エの説明が正しい。


イの「証明書失効リスト」・・・・

これは公開鍵基盤 (PKI)で使用される「証明書失効リスト（CRL）」の説明である。
CRYPTRECに全く関係ない。

ウの「推奨候補暗号リスト」・・・

CRYPTRECにより安全性および実装性能は確認されているが、現時点では十分な採用実績がないと評価された暗号技術である。
回答の「安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。」は正答例。


エの「電子政府推奨暗号リスト」・・・

CRYPTRECにより安全性及び実装性能が確認され、市場における利用実績が十分であるか、今後の普及が見込まれると判断された暗号技術である。CRYPTRECにより、これらの暗号技術の利用が推奨されている。
アの説明が正しい。


まとめると、
電子政府推奨暗号リスト・・・実績があって理論上も十分安全。推奨。
推奨候補暗号リスト・・・実績がないけれども理論上は十分安全。今後に期待。
運用監視暗号リスト・・・古くて使うのおすすめしないよ。互換性あるなら仕方なく使えばいいけど。

と言う具合だ。

メッセージ認証符号とは何か

メッセージ認証コード（MAC:Message Authentication Code）

----
メッセージ認証符号 - Wikipedia
https://ja.wikipedia.org/wiki/%E3%83%A1%E3%83%83%E3%82%BB%E3%83%BC%E3%82%B8%E8%AA%8D%E8%A8%BC%E7%AC%A6%E5%8F%B7

メッセージ認証コード（メッセージにんしょうコード、英: Message Authentication Code、MAC）は、メッセージを認証するための短い情報である。
----

？？？？

何言うとんじゃこのおっさん。

噛み砕いて言えば、共通鍵暗号方式やハッシュ関数を使って作られる、メッセージが改竄されていないかをチェックするチェック用のデータのことらしい。

ポイントは
・盗聴は検知できない。盗聴舎の特定もできない。
・改竄の有無が分かるだけで、改ざんされた箇所を特定することができない。
と言う点です。

通信のパリティビットみたいなもんですな。それが暗号文全体でチェックしていると。