ITパスポート 2018年 秋期 問60
問題文
オンラインバンキングにおいて、マルウェアなどでブラウザを乗っ取り、正式な取引画面の間に不正な画面を介在させ、振込先の情報を不正に書き換えて、攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。
選択肢
ア:MITB (Man In The Browser)攻撃(正解)
イ:SQLインジェクション
ウ:ソーシャルエンジニアリング
エ:ブルートフォース攻撃
🔒 解説は解答すると表示されます
オンラインバンキングでブラウザを乗っ取り不正に送金させる攻撃【ITパスポート 解説】
正解の理由
選択肢アの MITB(Man In The Browser:ブラウザの中で行われる攻撃)が正解です。
問題文は「マルウェア(悪意あるソフト)がブラウザ(Webを表示・操作するソフト)を乗っ取り、正式画面の間に不正な画面を挟み、振込先を書き換えて攻撃者の口座へ送金させる」と説明しています。これがまさに MITB の特徴です。MITB はユーザーのブラウザ内部でページ表示や送信データを書き換え、利用者や銀行側に気づかれないよう不正操作を行います。
問題文は「マルウェア(悪意あるソフト)がブラウザ(Webを表示・操作するソフト)を乗っ取り、正式画面の間に不正な画面を挟み、振込先を書き換えて攻撃者の口座へ送金させる」と説明しています。これがまさに MITB の特徴です。MITB はユーザーのブラウザ内部でページ表示や送信データを書き換え、利用者や銀行側に気づかれないよう不正操作を行います。
ポイント:
- 攻撃は「ブラウザ内部」で行われる(ネット経路ではなくブラウザ内の処理を改ざん)。
- 画面表示や送信データを改ざんして送金先などをすり替える点が合致する。
解法ステップ
- 問題文のキーワードを探す:ブラウザを「乗っ取り」「正式な画面の間に不正な画面を介在」「振込先を書き換え」。
- それが意味する技術的な場所を考える:ネットワーク経路(通信を傍受)ではなく、ブラウザの内部で処理を書き換えている。
- 選択肢を一つずつ当てはめる:ブラウザ内部での改ざんに該当する攻撃名が MITB であると判断する。
選択肢別の誤答解説
-
ア: MITB(Man In The Browser)
ブラウザ内部に侵入したマルウェアが画面表示や送信データを改ざんします。問題文の状況に一致します(正解)。 -
イ: SQLインジェクション(データベースに不正な命令を混ぜる攻撃)
Webフォームなどから送る入力に悪意あるSQL文を混ぜて、サーバ側のデータベースを不正操作する攻撃です。画面を偽装してブラウザ内で送金先を書き換えるという説明とは場所・手法が異なります。 -
ウ: ソーシャルエンジニアリング(人の心理をついて情報をだまし取る手口)
人間の信頼を利用して情報や操作をさせる手法です(例:偽の電話やメールでパスワードを聞き出す)。本問のようにマルウェアでブラウザの挙動を技術的に改ざんするケースとは異なります。 -
エ: ブルートフォース攻撃(総当たりでパスワードを当てる攻撃)
パスワードを片っ端から試して突破する手法です。ブラウザ内で画面を差し替えて送金先を変更する行為とは無関係です。
よくある誤解
-
MITB と MITM(Man In The Middle:通信の途中に割り込む攻撃)を混同する
- どちらも通信の不正操作が絡みますが、MITM はネットワーク経路で通信を傍受・改ざんします。MITB は端末のブラウザ内部で動作し、HTTPS(TLS)で暗号化された通信後の内容を改ざんできます。場所が違います。
-
TLS(Transport Layer Security:通信を暗号化する仕組み)があれば安全、という誤解
- TLS は通信経路の暗号化を行いますが、ブラウザ内でマルウェアが動く MITB では、ユーザーの操作や表示を改ざんした上で送信するため、TLS があっても防げない場合があります。
補足コラム
MITB の具体的な手口例と対策(初心者向け)
- 手口例:ユーザーが正しい振込先を入力しても、ブラウザ内のスクリプトが金額や振込先口座を別の値へ書き換え、銀行に送るデータだけを不正に変える。見た目の画面は本物と同じに見せるため気づきにくいことが多いです。
- 検出の難しさ:ブラウザ拡張やプロセスに潜むため、普通のブラウザ画面や銀行側ログだけでは分かりにくいです。
- 有効な対策例:
- 信頼できるセキュリティソフトでマルウェア検出・駆除を行う(マルウェア:悪意あるソフト)。
- OS・ブラウザ・プラグインを常に最新版に更新する(脆弱性を突かれにくくする)。
- 取引の最終確認を別の安全なチャネルで行う(電話確認やワンタイムパスワードの別送など)。
- トランザクション署名や専用の認証デバイスを使う。これらは取引内容を端末外で確認・署名する方式で、MITB の改ざんを防ぎやすいです。
FAQ
Q1: MITB と MITM はどっちが危険ですか?
A1: 危険性は状況によります。MITM はネットワークのどこかに仕掛けられた場合広範囲に影響します。MITB は感染した端末の利用者に対しごく自然に不正を行えるため、個人のオンラインバンキング被害として非常に厄介です。
A1: 危険性は状況によります。MITM はネットワークのどこかに仕掛けられた場合広範囲に影響します。MITB は感染した端末の利用者に対しごく自然に不正を行えるため、個人のオンラインバンキング被害として非常に厄介です。
Q2: 二要素認証(2FA)は MITB を防げますか?
A2: 2FA(Two-Factor Authentication:本人確認を強化する仕組み)は有効ですが、MITB が端末上でワンタイムパスワード等を盗んだり、トランザクション内容を画面と別に操作する手口には弱い場合があります。したがって 2FA と併せて端末の安全対策も重要です。
A2: 2FA(Two-Factor Authentication:本人確認を強化する仕組み)は有効ですが、MITB が端末上でワンタイムパスワード等を盗んだり、トランザクション内容を画面と別に操作する手口には弱い場合があります。したがって 2FA と併せて端末の安全対策も重要です。
Q3: 自分のPCがMITBに感染しているかどうか分かりますか?
A3: 初期は気づきにくいです。見慣れないブラウザ拡張や知らないプロセス、意図しないポップアップ、ブラウザの動作不良がある場合は疑ってください。疑いがあればセキュリティソフトでスキャンし、必要なら専門家に相談してください。
A3: 初期は気づきにくいです。見慣れないブラウザ拡張や知らないプロセス、意図しないポップアップ、ブラウザの動作不良がある場合は疑ってください。疑いがあればセキュリティソフトでスキャンし、必要なら専門家に相談してください。
関連キーワード: MITB、Man-in-the-Browser、マルウェア、ブラウザ乗っ取り、オンラインバンキング、不正送金、トランザクション改ざん、MITM、トランザクション署名、二要素認証、TLS

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

