情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問11: インターネットバンキングの利用時に被害をもたらす MITB(Man-in-the-Browser)攻撃に有効な対策はどれか。
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ
インターネットバンキングの利用時に被害をもたらす MITB(Man-in-the-Browser)攻撃に有効な対策はどれか。
問題本文
インターネットバンキングの利用時に被害をもたらす MITB(Man-in-the-Browser)攻撃に有効な対策はどれか。
選択肢
- ア.インターネットバンキングでの送金時に Web ブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
- イ.インターネットバンキングでの送金時に接続する Web サイトの正当性を確認できるよう,EV SSL サーバ証明書を採用する。
- ウ.インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
- エ.インターネットバンキング利用時の通信を SSL ではなく TLS を利用して暗号化する。
正解
ア. インターネットバンキングでの送金時に Web ブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
解説
MITB攻撃はマルウェアがブラウザに寄生し、利用者が正しい画面で入力した送金内容を裏で改ざんしてから送信する。ワンタイムパスワードやサーバ証明書確認はログインや接続先正当性の対策で、入力後の改ざんは防げない。トランザクション署名なら利用者が入力した取引内容そのものに署名して金融機関側で照合でき改ざんを検出できるため、アが有効。
選択肢ごとの解説
- ア.入力した取引内容に署名し金融機関側で差異を検証でき、MITBによる改ざんを検出できるため正解。
- イ.EV SSLは接続先サイトの正当性確認で、ブラウザ内で起こる送金内容改ざんは防げない。
- ウ.ワンタイムパスワードはログイン認証の強化で、認証後の取引内容改ざんには無力である。
- エ.通信暗号化は盗聴対策であり、ブラウザ内部で改ざんするMITBには効果がない。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ の過去問一覧へ戻る・問11