情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和元年度秋期 午前 問13: インターネットバンキングでの MITB 攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
←情報セキュリティマネジメント試験 令和元年度秋期 午前
インターネットバンキングでの MITB 攻撃による不正送金について,対策として用いられる署名の説明はどれか。
問題本文
インターネットバンキングでの MITB 攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
選択肢
- ア.携帯端末からの送金取引の場合,金融機関から携帯端末の登録メールアドレスに送金用のワンタイムパスワードを送信する。
- イ.特定認証業務の認定を受けた認証局が署名したディジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
- ウ.利用者が送金取引時に,送金処理を行う PC とは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。
- エ.ログイン時に,送金処理を行う PC とは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。
正解
ウ. 利用者が送金取引時に,送金処理を行う PC とは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。
解説
MITB(Man-in-the-Browser)攻撃はマルウェアがブラウザ内で送金内容を改ざんするため、PC上の認証だけでは防げない。トランザクション署名は、PCとは独立した別デバイスに利用者が振込先口座番号などの取引情報を入力して生成した値を送信し、取引情報そのものの正当性を確認する方式であり、これを説明した「ウ」が正解となる。
選択肢ごとの解説
- ア.登録メールアドレスにワンタイムパスワードを送る方式は、取引情報自体を保護しないためMITBによる送金内容の改ざんは防げず、トランザクション署名ではない。
- イ.認証局のディジタル証明書を利用者認証に使う方式はログイン時のなりすまし防止であり、取引内容を検証するトランザクション署名ではない。
- ウ.別デバイスに取引情報を入力して得た値を送信し取引内容の正当性を確認する記述はトランザクション署名そのものであり、MITB対策となるので正しい。
- エ.別デバイスでログイン用ワンタイムパスワードを生成する方式はログイン認証の強化であり、送金内容を検証するトランザクション署名ではない。
情報セキュリティマネジメント試験 令和元年度秋期 午前 の過去問一覧へ戻る・問13