ホーム > 情報処理安全確保支援士試験 > 2018年秋期

情報処理安全確保支援士試験 2018年秋期午前2 問09

インターネットバンキングの利用時に被害をもたらすMITB攻撃に有効な対策はどれか。

ア：インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用する。（正解）

イ：インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう、EV SSLサーバ証明書を採用する。

ウ：インターネットバンキングでのログイン認証において、一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。

エ：インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。

解説

インターネットバンキングの利用時に被害をもたらすMITB攻撃に有効な対策【午前2 解説】

要点まとめ

結論：MITB攻撃にはトランザクション署名を用いて送金内容の改ざんを検知する対策が有効です。
根拠：MITB攻撃は利用者の端末に潜むマルウェアが送金情報を改ざんするため、送信内容の整合性を検証する仕組みが必要です。
差がつくポイント：SSL/TLSやEV SSLは通信の盗聴やなりすまし防止に有効ですが、送金内容の改ざん検知には不十分である点を理解しましょう。

正解の理由

ア: インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用する。
MITB（Man-In-The-Browser）攻撃は、利用者のブラウザに感染したマルウェアが送金情報を改ざんする攻撃です。トランザクション署名は、利用者が入力した送金内容に電子署名を付与し、金融機関側でその署名を検証することで、改ざんの有無を判定できます。これにより、送金内容の不正変更を防止できるため、MITB攻撃に対して最も効果的な対策です。

よくある誤解

SSL/TLSやEV SSLは通信の暗号化やサイトの正当性確認に役立ちますが、MITB攻撃のように端末内で送金内容が改ざんされる場合は防げません。ワンタイムパスワードも認証強化には有効ですが、送金内容の改ざん検知には直接関係しません。

解法ステップ

MITB攻撃の特徴を理解する（ブラウザ内で送金情報を改ざんするマルウェア）。
通信の暗号化やサイト認証だけでは改ざん検知ができないことを確認する。
送金内容の整合性を検証できる仕組み（トランザクション署名）が必要と判断する。
選択肢の中で送金内容の検証に関わるものを選ぶ。
トランザクション署名を利用するアが正解と確定する。

選択肢別の誤答解説

ア: 正解。送金内容の改ざんを検知できるトランザクション署名を利用している。
イ: EV SSLはサイトの正当性確認に有効だが、MITB攻撃の送金内容改ざんは防げない。
ウ: ワンタイムパスワードは認証強化策であり、送金内容の改ざん検知には直接効果がない。
エ: TLSはSSLの後継プロトコルで暗号化に優れるが、通信経路外のブラウザ内改ざんは防げない。

補足コラム

トランザクション署名は、利用者が送金内容を確認し署名することで、金融機関側が受信データの正当性を検証します。これにより、MITB攻撃のようなブラウザ内改ざんを検知し、不正送金を防止できます。近年はスマートフォンアプリやセキュリティトークンを用いた多要素認証と組み合わせて、より強固な対策が推奨されています。

FAQ

Q: MITB攻撃はなぜSSL/TLSだけでは防げないのですか？
A: MITB攻撃は利用者の端末内で送金情報を改ざんするため、通信経路の暗号化だけでは改ざんを検知できません。

Q: トランザクション署名はどのように実装されますか？
A: 利用者が送金内容を確認し、専用アプリやトークンで電子署名を生成し、金融機関がその署名を検証します。

Q: ワンタイムパスワードはMITB攻撃に無意味ですか？
A: 認証強化には有効ですが、送金内容の改ざん検知には直接効果がありません。

関連キーワード: MITB攻撃, トランザクション署名, EV SSL, ワンタイムパスワード, TLS, インターネットバンキングセキュリティ

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2018年 秋期 午前2 問09

解説