情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問11: インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効なインターネットバンクでの対策はどれか。
←情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効なインターネットバンクでの対策はどれか。
問題本文
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効なインターネットバンクでの対策はどれか。
選択肢
- ア.インターネットバンキングでの送金時に接続するWebサイトの正当性を利用者が確認できるよう,EV SSLサーバ証明書を採用する。
- イ.インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
- ウ.インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを導入する。
- エ.インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化するようにWebサイトを設定する。
正解
イ. インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
解説
MITB攻撃はブラウザに常駐するマルウェアが、利用者が入力した送金内容を画面表示は正規のまま裏で改ざんする。SSL/TLSやEV証明書、ワンタイムパスワードはログイン後の改ざんを防げない。トランザクション署名は取引内容そのものを利用者の手元で署名・検証するため改ざんを検出でき、イが正解。実務では取引明細の確認を別チャネルで行う仕組みが有効。
選択肢ごとの解説
- ア.EV SSL証明書はサイトの正当性表示に役立つが、ブラウザ内で取引内容を改ざんするMITBは防げず誤り。
- イ.送金内容自体を署名・検証するトランザクション署名は入力と受信の差異を検出でき、MITBに有効でこれが正解。
- ウ.ワンタイムパスワードはログイン認証を守るが、認証後にブラウザ内で改ざんするMITBには無効で誤り。
- エ.SSLからTLSへの変更は通信路の暗号化の話で、ブラウザ内部での改ざんを行うMITBの対策にならず誤り。
情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ の過去問一覧へ戻る・問11