情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問7: インターネットバンキングでの MITB 攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
←情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ
インターネットバンキングでの MITB 攻撃による不正送金について,対策として用いられる署名の説明はどれか。
問題本文
インターネットバンキングでの MITB 攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
選択肢
- ア.携帯端末からの送金取引の場合,金融機関から利用者の登録メールアドレスに送金用のワンタイムパスワードを送信する。
- イ.特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
- ウ.利用者が送金取引時に,“送金操作を行う PC とは別のデバイスに振込先口座番号などの取引情報を入力して表示された値”をインターネットバンキングに送信する。
- エ.ログイン時に,送金操作を行う PC とは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。
正解
ウ. 利用者が送金取引時に,“送金操作を行う PC とは別のデバイスに振込先口座番号などの取引情報を入力して表示された値”をインターネットバンキングに送信する。
解説
MITB攻撃はブラウザ内のマルウェアが送金内容を改ざんするため、通信路の暗号化やログイン認証だけでは防げない。トランザクション署名は、PCとは別デバイスに振込先口座番号など取引情報を入力させ、その内容から生成した値を送信・照合することで取引そのものの正当性を検証する。よってウが正解。実務では取引ごとに値が変わるため、改ざんされた送金を確実に検知できる。
選択肢ごとの解説
- ア.ワンタイムパスワード送信であり、取引内容を署名・検証するトランザクション署名ではない。
- イ.証明書によるログイン認証強化で、取引内容の改ざん検知はできない。
- ウ.別デバイスに取引情報を入力し生成値を送信・照合する、トランザクション署名そのもの。
- エ.ログイン用のワンタイムパスワードで、取引単位の検証を行うものではない。
情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ の過去問一覧へ戻る・問7