情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

Man-in-the-Browser攻撃(MITB)は、ユーザーPC内でプロキシとして動作するマルウェアによってWebブラウザ～Webサーバ間の送受信をブラウザベースで盗聴および改ざんする攻撃です。インターネットバンキングへのログインを検知して、セッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金するなどの攻撃例があります。同じように送受信を改ざんするMan-in-the-Middle攻撃と異なり、クライアント内で書換えが行われるためWebサーバ側で不正処理を拒否することが難しいという特徴があります。トランザクション署名(Transaction Signature，TSIG)とは、マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法で、増加するMITBの被害を防止するために効果的です。
OTPトークンは振込先口座番号・振込金額を入力されると振込情報に対する署名を表示するようになっています。利用者はWebブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはOTPトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を食い止められます。

• 正しい。トランザクション署名はMITB対策に有効です。
• 正規のWebサイトへのアクセスであっても被害が発生するため効果は望めません。
• たとえ書き換えが行われた送信データであっても、利用者が正しいワンタイムパスワードを入力すれば正しい処理要求と認識されてしまうため効果は望めません。
• 書き換えはWebサーバへの送信処理前に行われるため、Webサーバが受信する暗号化データは書き換え後のものになります。このため、たとえTLSであってもMITBに対する効果は望めません。