ホーム > 情報処理安全確保支援士試験 > 2017年 春期
情報処理安全確保支援士試験 2017年 春期 午前2 問11
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効な対策はどれか。
ア:インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。(正解)
イ:インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう,EV SSLサーバ証明書を採用する。
ウ:インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
エ:インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
解説
インターネットバンキングのMITB攻撃対策【午前2 解説】
要点まとめ
- 結論:MITB攻撃にはトランザクション署名が有効で、送金内容の改ざんを検知できることが重要です。
- 根拠:MITBはブラウザ内で送金情報を改ざんするため、送信前後のデータ整合性を検証する仕組みが必要です。
- 差がつくポイント:SSL/TLSやEV SSLは通信経路の保護に有効ですが、ブラウザ内の改ざんには無力である点を理解しましょう。
正解の理由
MITB(Man-in-the-Browser)攻撃は、ユーザーのブラウザにマルウェアが入り込み、送金情報などをユーザーの目には見えない形で改ざんします。
このため、通信経路の暗号化(SSL/TLS)やサイトの正当性確認(EV SSL)だけでは防げません。
トランザクション署名は、ユーザーが入力した送金情報に対して電子署名を行い、金融機関側で受信情報と照合することで改ざんを検知できます。
したがって、選択肢アの「トランザクション署名を利用する」が最も有効な対策です。
このため、通信経路の暗号化(SSL/TLS)やサイトの正当性確認(EV SSL)だけでは防げません。
トランザクション署名は、ユーザーが入力した送金情報に対して電子署名を行い、金融機関側で受信情報と照合することで改ざんを検知できます。
したがって、選択肢アの「トランザクション署名を利用する」が最も有効な対策です。
よくある誤解
SSL/TLSやEV SSLは通信の安全性を高めますが、ブラウザ内での改ざんまでは防げません。
ワンタイムパスワードは認証強化に有効ですが、送金内容の改ざん検知には直接関係しません。
ワンタイムパスワードは認証強化に有効ですが、送金内容の改ざん検知には直接関係しません。
解法ステップ
- MITB攻撃の特徴を理解する(ブラウザ内での改ざん)。
- 通信経路の暗号化やサイト認証だけでは防げないことを認識する。
- 送金情報の改ざんを検知する仕組みが必要と判断する。
- トランザクション署名が送金内容の整合性検証に有効であることを選択肢から選ぶ。
選択肢別の誤答解説
- ア: トランザクション署名により送金情報の改ざん検知が可能で正解。
- イ: EV SSLはサイトの正当性確認に有効だが、ブラウザ内改ざんは防げない。
- ウ: ワンタイムパスワードは認証強化策であり、送金内容の改ざん検知には不十分。
- エ: TLSはSSLの後継プロトコルで通信暗号化に使われるが、MITBのブラウザ内改ざんには無力。
補足コラム
トランザクション署名は、ユーザーが送金内容を確認し署名することで、改ざんがあれば金融機関側で検知可能です。
近年はスマートフォンアプリや専用デバイスを使った多要素認証と組み合わせて、MITB対策を強化しています。
近年はスマートフォンアプリや専用デバイスを使った多要素認証と組み合わせて、MITB対策を強化しています。
FAQ
Q: MITB攻撃はなぜSSL/TLSだけでは防げないのですか?
A: MITBはユーザーのブラウザ内で送金情報を改ざんするため、通信経路の暗号化だけでは改ざんを検知できません。
A: MITBはユーザーのブラウザ内で送金情報を改ざんするため、通信経路の暗号化だけでは改ざんを検知できません。
Q: トランザクション署名はどのように送金内容の改ざんを防ぐのですか?
A: ユーザーが送金内容に電子署名を行い、金融機関側で受信情報と照合することで改ざんを検知します。
A: ユーザーが送金内容に電子署名を行い、金融機関側で受信情報と照合することで改ざんを検知します。
関連キーワード: MITB攻撃, トランザクション署名, インターネットバンキング, EV SSL, ワンタイムパスワード, TLS, SSL