ホーム > 情報処理安全確保支援士試験 > 2022年春期

情報処理安全確保支援士試験 2022年春期午前2 問11

インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効なインターネットバンクでの対策はどれか。

ア：インターネットバンキングでの送金時に接続するWebサイトの正当性を利用者が確認できるようEV SSLサーバ証明書を採用する。

イ：インターネットバンキングでの送金時に利用者が入力した情報と金融機関が受信した情報とに差異がないことを検証できるようトランザクション署名を利用する。（正解）

ウ：インターネットバンキングでのログイン認証において一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを導入する。

エ：インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化するようにWebサイトを設定する。

解説

インターネットバンキングのMITB攻撃対策【午前2 解説】

要点まとめ

結論：MITB攻撃には送金情報の改ざん検知が可能なトランザクション署名が有効です。
根拠：MITBはブラウザ内で送金内容を改ざんするため、送信情報の整合性を検証する仕組みが必要です。
差がつくポイント：単なる通信の暗号化や認証強化では防げず、送金内容の改ざん検知ができる技術を選ぶことが重要です。

正解の理由

MITB（Man-in-the-Browser）攻撃は、利用者のブラウザにマルウェアが入り込み、送金情報を利用者が入力した後に改ざんしてしまう攻撃です。
このため、通信経路の暗号化やログイン認証の強化だけでは防げません。
トランザクション署名は、利用者が入力した送金情報に対して電子署名を行い、金融機関側で受信情報と照合することで改ざんの有無を検証できます。
したがって、送金内容の整合性を保証できるトランザクション署名がMITB攻撃に対して最も有効な対策です。

よくある誤解

EV SSL証明書やTLS通信は通信の安全性を高めますが、ブラウザ内での改ざんは防げません。
ワンタイムパスワードは認証強化に有効ですが、送金内容の改ざん検知には直接関係しません。

解法ステップ

MITB攻撃の特徴を理解する（ブラウザ内で送金情報を改ざんする）。
改ざんを防ぐには送金情報の整合性検証が必要と判断する。
各選択肢の対策内容を確認し、送金情報の改ざん検知が可能なものを選ぶ。
トランザクション署名が送金情報の検証に適していることを確認し、正解とする。

選択肢別の誤答解説

ア: EV SSL証明書はWebサイトの正当性を示すが、ブラウザ内の改ざんは防げない。
イ: トランザクション署名は送金情報の改ざん検知が可能でMITB攻撃に有効。
ウ: ワンタイムパスワードはログイン認証強化に有効だが、送金内容の改ざん検知には無力。
エ: TLSはSSLの後継で通信暗号化に有効だが、ブラウザ内の改ざんは防げない。

補足コラム

トランザクション署名は、利用者が送金内容に電子署名を付与し、金融機関側でその署名を検証する仕組みです。
これにより、送金内容が途中で改ざんされていないかを確実にチェックでき、MITB攻撃の被害を防止します。
近年はスマートフォンアプリや専用デバイスを使った署名方式も普及しています。

FAQ

Q: MITB攻撃はなぜSSL/TLSだけでは防げないのですか？
A: SSL/TLSは通信経路の暗号化を行いますが、ブラウザ内のマルウェアによる改ざんは通信前に行われるため防げません。

Q: トランザクション署名は利用者にとって使いにくくなりませんか？
A: 専用アプリやデバイスを使うことで操作性を向上させつつ、高いセキュリティを実現しています。

関連キーワード: MITB攻撃, トランザクション署名, インターネットバンキング, EV SSL, ワンタイムパスワード, TLS, セキュリティ対策

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2022年 春期 午前2 問11

解説