分野 ：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ対策

トランザクション署名(Transaction Signature)とは、振込先口座番号や振込金額などの取引内容そのものに対して、利用者専用のハードウェアトークン内でメッセージ認証符号(MAC)などの電子署名を生成し、その値をWebサイト側で検証する仕組みです。これによって、誰がログインしたかだけでなく、どの内容の取引を正当に依頼したかを確認できる点が特徴で、MITB攻撃による不正送金の対策として有効です。

ハードウェアトークンは、振込先口座番号・振込金額をORコードなどで読取り、そのトランザクションに対応する署名（本問ではMAC）を表示します。利用者はWebブラウザの画面で振込先口座番号・振込金額を確認し、署名を入力してWebサーバに送信します。Webサーバ側では同じ振込先口座番号と振込金額を用いて、利用者に発行したハードウェアトークンと同じ処理手順で署名を計算し、受信した署名と比較します。一致すれば、改ざんされていない正当な取引と判断できます。

もしPC内部のマルウェアが通信を書き換えて不正送金を仕掛けたとしても、マルウェアには不正送金に対するトランザクション署名の値を知ることができません。このため、WebブラウザやPC内部でMITB攻撃が行われたとしても、Webサーバ側でこれを検知し、被害発生を防ぐことができます。

したがって「ウ」が正解です。