情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問10: インターネットバンキングの利用時に被害をもたらす MITB(Man in the Browser)攻撃に有効な対策はどれか。
インターネットバンキングの利用時に被害をもたらす MITB(Man in the Browser)攻撃に有効な対策はどれか。
問題本文
インターネットバンキングの利用時に被害をもたらす MITB(Man in the Browser)攻撃に有効な対策はどれか。
選択肢
- ア.インターネットバンキングでの送金時に接続する Web サイトの正当性を確認できるよう,EV SSL サーバ証明書を採用する。
- イ.インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
- ウ.インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
- エ.インターネットバンキング利用時の通信を SSL ではなく TLS を利用して暗号化する。
正解
イ. インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
解説
MITB攻撃はブラウザに潜むマルウェアが、利用者の正規操作後に送金先や金額を改ざんして送信する。通信路や認証を守っても、ブラウザ内で書き換えられるため従来対策では防げない。対策は、利用者が入力した取引内容を別経路や署名で本人に確認させるトランザクション署名が有効でイが正解。改ざんの有無を取引単位で検証できる。
選択肢ごとの解説
- ア.EV証明書はサイトの正当性を示すが、ブラウザ内での取引改ざんは防げずMITB対策にならない。
- イ.入力情報と金融機関の受信情報の差異を取引ごとに検証するトランザクション署名はMITBの改ざんを検出でき正しい。
- ウ.ワンタイムパスワードはログイン認証を強化するが、認証後に取引を書き換えるMITBは防げない。
- エ.SSLからTLSへ変えても通信の暗号化は盗聴対策にすぎず、ブラウザ内部で改ざんするMITBには無効。
情報処理安全確保支援士試験 令和2年度 午前Ⅱ の過去問一覧へ戻る・問10