ホーム > 情報処理安全確保支援士試験 > 2020年秋期

情報処理安全確保支援士試験 2020年秋期午前2 問10

インターネットバンキング利用時に被害をもたらすMITB（Man in the Browser）攻撃に有効な対策はどれか。

ア：インターネットバンキングでの送金時に接続する Web サイトの正当性を確認できるよう, EV SSL サーバ証明書を採用する。

イ：インターネットバンキングでの送金時に利用者が入力した情報と, 金融機関が受信した情報とに差異がないことを検証できるよう, トランザクション署名を利用する。（正解）

ウ：インターネットバンキングでのログイン認証において, 一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。

エ：インターネットバンキング利用時の通信を SSL ではなく TLS を利用して暗号化する。

解説

インターネットバンキングのMITB攻撃対策【午前2 解説】

要点まとめ

結論：MITB攻撃にはトランザクション署名が有効で、送金内容の改ざんを検知できることが重要です。
根拠：MITBはブラウザ内で送金情報を不正に書き換えるため、送信前後の情報整合性を保証する仕組みが必要です。
差がつくポイント：SSL/TLSやワンタイムパスワードは通信や認証の安全性向上に寄与しますが、MITBの改ざん検知には不十分です。

正解の理由

イのトランザクション署名は、利用者が入力した送金情報に電子署名を付与し、金融機関側で受信情報と照合します。これにより、MITB攻撃で送金内容が改ざんされても検知可能となり、不正送金を防止できます。単なる通信暗号化や認証強化では、ブラウザ内での改ざんを防げないため、トランザクション署名が最も効果的です。

よくある誤解

SSL/TLSは通信経路の暗号化に有効ですが、ブラウザ内の改ざんまでは防げません。ワンタイムパスワードは認証強化策であり、送金内容の改ざん検知には直接関係しません。

解法ステップ

MITB攻撃の特徴を理解する（ブラウザ内で送金情報を改ざんする攻撃）。
改ざんを防ぐには送金情報の整合性検証が必要と判断する。
各選択肢の対策内容を確認し、送金情報の検証に関わるものを選ぶ。
トランザクション署名が送金情報の改ざん検知に適していると判断する。
よって、正解はイと確定する。

選択肢別の誤答解説

ア: EV SSLはサイトの正当性確認に役立つが、MITBの改ざん検知には不十分。
イ: 送金情報の改ざんを検知できるトランザクション署名で正解。
ウ: ワンタイムパスワードは認証強化策であり、送金内容の改ざん防止には直接効果がない。
エ: TLSはSSLの後継で通信暗号化に有効だが、ブラウザ内の改ざんは防げない。

補足コラム

MITB攻撃はマルウェアがブラウザの動作を乗っ取り、送金情報を書き換える高度な攻撃です。トランザクション署名は、利用者が送金内容に署名し、金融機関が受信内容と照合することで改ざんを検知します。近年はスマートフォンアプリやワンタイムパスワードと組み合わせた多層防御も推奨されています。

FAQ

Q: トランザクション署名はどのように実装されるのですか？
A: 利用者の端末で送金情報に電子署名を付与し、金融機関側で署名検証を行い改ざんを検知します。

Q: ワンタイムパスワードはMITB攻撃に全く効果がないのですか？
A: 認証強化には効果的ですが、送金内容の改ざん検知には直接関係しません。

関連キーワード: MITB攻撃, トランザクション署名, EV SSL, ワンタイムパスワード, TLS, インターネットバンキングセキュリティ

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2020年 秋期 午前2 問10

解説