ホーム > 情報処理安全確保支援士試験 > 2023年 秋期
情報処理安全確保支援士試験 2023年 秋期 午前2 問07
インターネットバンキングでのMITB攻撃による不正送金について、対策として用いられるトランザクション署名の説明はどれか。
ア:携帯端末からの送金取引の場合,金融機関から利用者の登録メールアドレスに送金用のワンタイムパスワードを送信する。
イ:特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
ウ:利用者が送金取引時に,“送金操作を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値”をインターネットバンキングに送信する。(正解)
エ:ログイン時に,送金操作を行うPCとは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。
解説
インターネットバンキングのMITB攻撃対策におけるトランザクション署名の説明【午前2 解説】
要点まとめ
- 結論:トランザクション署名は、送金操作を行うPCとは別のデバイスで取引情報を入力し、改ざんを防止する仕組みです。
- 根拠:MITB攻撃はPC上の通信内容を改ざんするため、別デバイスでの署名により正確な取引内容の確認と認証が可能になります。
- 差がつくポイント:単なるワンタイムパスワードやデジタル証明書認証では防げない取引内容の改ざんを防止できる点が重要です。
正解の理由
選択肢ウは、送金操作を行うPCとは別のデバイスに取引情報を入力し、そのデバイスで生成された署名情報を送信する方法を説明しています。これにより、PCがマルウェアに感染して通信内容が改ざんされても、別デバイスでの署名が正しい取引内容を保証し、不正送金を防止できます。これがトランザクション署名の本質的な役割です。
よくある誤解
トランザクション署名は単なるワンタイムパスワードの送信やログイン認証の強化ではありません。取引内容そのものの改ざんを防ぐための仕組みである点を理解しましょう。
解法ステップ
- MITB攻撃の特徴を理解する(PC上の通信内容改ざん)。
- トランザクション署名の目的は「取引内容の改ざん防止」であることを確認。
- 選択肢の説明が「別デバイスで取引情報を入力し署名する」かどうかをチェック。
- 取引内容の改ざん防止に直接関係しない選択肢は除外。
- 「別デバイスで取引情報を入力し署名する」ウを正解と判断。
選択肢別の誤答解説
- ア:ワンタイムパスワードの送信は認証強化策であり、取引内容の改ざん防止には直接関係しません。
- イ:デジタル証明書はログイン認証の強化に有効ですが、送金取引の内容改ざん防止には不十分です。
- ウ:別デバイスで取引情報を入力し署名することで、MITB攻撃による取引内容改ざんを防止します。
- エ:ログイン時のワンタイムパスワード生成は認証強化策であり、取引内容の改ざん防止とは異なります。
補足コラム
MITB(Man-In-The-Browser)攻撃は、ユーザーのPCに潜むマルウェアがブラウザの通信内容を改ざんし、不正送金を行う手口です。トランザクション署名は、別の安全なデバイスで取引内容を確認・署名することで、改ざんを検知・防止する技術として注目されています。スマートフォンアプリや専用トークンが利用されることが多いです。
FAQ
Q: トランザクション署名はなぜ別デバイスが必要なのですか?
A: PCがマルウェアに感染している場合、通信内容が改ざんされるため、別デバイスで正しい取引内容を確認・署名する必要があります。
A: PCがマルウェアに感染している場合、通信内容が改ざんされるため、別デバイスで正しい取引内容を確認・署名する必要があります。
Q: ワンタイムパスワードとトランザクション署名はどう違いますか?
A: ワンタイムパスワードは認証強化のための使い捨てパスワードであり、トランザクション署名は取引内容の改ざん防止を目的としています。
A: ワンタイムパスワードは認証強化のための使い捨てパスワードであり、トランザクション署名は取引内容の改ざん防止を目的としています。
関連キーワード: MITB攻撃, トランザクション署名, 不正送金対策, インターネットバンキング, ワンタイムパスワード, デジタル証明書, マルウェア, 取引内容改ざん防止