情報処理安全確保支援士平成31年春期 午前U 問8

午前U 問8

インターネットバンキングサービスを提供するWebサイトを利用する際に,トランザクション署名の機能をもつハードウェアトークンを利用する。次の処理を行うとき,(4)によってできることはどれか。ここで,ハードウェアトークンは利用者ごとに異なり,本人だけが利用する。

〔処理〕
  • ハードウェアトークンに振込先口座番号と振込金額を入力し,メッセージ認証符号(MAC)を生成する。
  • Webサイトの振込処理画面に振込先口座番号,振込金額及び(1)で生成されたMACを入力し,Webサイトに送信する。
  • Webサイトでは,本人に発行したハードウェアトークンと同じ処理手順によって振込先口座番号と振込金額からMACを生成する。
  • Webサイトでは,(2)で入力されたMACと,(3)で生成したMACを比較する。
  • 通信経路において盗聴されていないことを確認できる。
  • 通信経路における盗聴者を特定できる。
  • 振込先口座番号と振込金額が改ざんされていないことを確認できる。
  • 振込先口座番号と振込金額の改ざんされた箇所を訂正できる。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

トランザクション署名(Transaction Signature,TSIG)とは、マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法で、増加するMITBの被害を防止するために効果的です。
OTPトークンは振込先口座番号・振込金額を入力されると振込情報に対する署名(本問ではMAC)を表示するようになっています。利用者はWebブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはOTPトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を食い止められます。

設問の手順に従ったトランザクション署名では、Webブラウザから受け取った振込先口座番号と振込金額が改ざんされていないことをWebサーバ側で確認できます。

したがって「ウ」が正解です。
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop