情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問9: インターネットバンキングの利用時に被害をもたらす MITB 攻撃に有効な対策はどれか。

問題本文

インターネットバンキングの利用時に被害をもたらす MITB 攻撃に有効な対策はどれか。

選択肢

• ア.インターネットバンキングでの送金時に Web ブラウザで利用者が入力した情報と，金融機関が受信した情報とに差異がないことを検証できるよう，トランザクション署名を利用する。
• イ.インターネットバンキングでの送金時に接続する Web サイトの正当性を確認できるよう，EV SSL サーバ証明書を採用する。
• ウ.インターネットバンキングでのログイン認証において，一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
• エ.インターネットバンキング利用時の通信を SSL ではなく TLS を利用して暗号化する。

正解

ア. インターネットバンキングでの送金時に Web ブラウザで利用者が入力した情報と，金融機関が受信した情報とに差異がないことを検証できるよう，トランザクション署名を利用する。

解説

MITB(Man-in-the-Browser)は、利用者PCのブラウザに潜むマルウェアが、正規セッション内で送金内容を改ざんする攻撃。通信路の暗号やログイン認証を突破した後の操作なので、それらでは防げない。アのトランザクション署名は、利用者が入力した取引内容そのものを署名・検証し、改ざんを検出できるためMITBに有効でありアが正解。実務では取引単位の認証が要となる。

選択肢ごとの解説

• ア.取引内容自体を署名・検証するトランザクション署名はブラウザ内での改ざんを検出でき、MITB対策として有効で正解。
• イ.EV SSL証明書はサイトの正当性確認に役立つが、正規サイト接続後に改ざんするMITBは防げないので誤り。
• ウ.ワンタイムパスワードはログイン認証を守るが、認証後にセッション内で改ざんするMITBには無効で誤り。
• エ.TLSによる通信暗号化は盗聴を防ぐが、利用者PC内で改ざんするMITBには効果がなく対策にならない。