HOME»情報処理安全確保支援士平成30年秋期»午前Ⅱ 問9
情報処理安全確保支援士平成30年秋期 午前Ⅱ 問9
問9
インターネットバンキングの利用時に被害をもたらすMITB(Man in the Browser)攻撃に有効な対策はどれか。
- インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう,EV SSLサーバ証明書を採用する。
- インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
- インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
- インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
イ
解説
MITB(Man-in-the-Browser)攻撃は、ユーザーのPCに侵入したマルウェアが、Webブラウザの内部処理に介入し、Webブラウザに表示される画面や、Webサーバの間でやり取りされる送受信データを不正に書き換える攻撃です。
インターネットバンキングへのログインを検知し、利用者のセッションを乗っ取って振込先口座番号をすり替え、不正送金を行うといった被害例が知られています。通信を改ざんする点はMan-in-the-Middle攻撃と同じですが、MITBではクライアントPC内部(暗号化前・復号後の段階で)で書換えが行われるため、Webサーバ側で不正処理を判別して拒否することが難しいという特徴があります。
トランザクション署名(Transaction Signature)とは、マルウェアの影響を受けないハードウェアトークンが、振込先口座番号や振込金額といった取引内容を入力として専用の署名コードを生成し、そのコードを用いて取引の正当性を確認する仕組みです。
利用者は、Webブラウザに表示された取引内容と、トークンが表示する署名コードを入力して送信します。Webサーバ側では、入力された内容と署名が一致するかを検証し、正しい場合のみ処理が実行されます。マルウェアはトークンが生成する取引内容に基づく署名を偽造できないため、通信経路上で内容が改ざんされてもサーバ側で拒否され、MITB攻撃の被害を防止できます。
インターネットバンキングへのログインを検知し、利用者のセッションを乗っ取って振込先口座番号をすり替え、不正送金を行うといった被害例が知られています。通信を改ざんする点はMan-in-the-Middle攻撃と同じですが、MITBではクライアントPC内部(暗号化前・復号後の段階で)で書換えが行われるため、Webサーバ側で不正処理を判別して拒否することが難しいという特徴があります。
利用者は、Webブラウザに表示された取引内容と、トークンが表示する署名コードを入力して送信します。Webサーバ側では、入力された内容と署名が一致するかを検証し、正しい場合のみ処理が実行されます。マルウェアはトークンが生成する取引内容に基づく署名を偽造できないため、通信経路上で内容が改ざんされてもサーバ側で拒否され、MITB攻撃の被害を防止できます。
- 正規のWebサイトへのアクセスであっても被害は発生します。したがって、EV SSL証明書でも防止効果はありません。
- 正しい。トランザクション署名はMITB攻撃への対策として有効です。
- ワンタイムパスワードは振込情報と紐づいていません。利用者が正しいワンタイムパスワードを入力すれば、書き換えられた送信データであっても、システムはその要求を正規の処理として受け付けてしまいます。したがって、有効な対策ではありません。
- MITB攻撃によるデータ書換えはPC内部で行われます。通信経路上で改ざんするわけではないため、TLSで暗号化をしても有効な対策とはなりません。