HOME»情報処理安全確保支援士令和4年春期»午前Ⅱ 問11
情報処理安全確保支援士令和4年春期 午前Ⅱ 問11
問11
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効なインターネットバンクでの対策はどれか。
- インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう,EV SSLサーバ証明書を採用する。
- インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
- インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを導入する。
- インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化するようにWebサイトを設定する。
- [出題歴]
- 安全確保支援士 R2秋期 問10
- 安全確保支援士 H29春期 問11
- 安全確保支援士 H30秋期 問9
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
イ
解説
MITB(Man-in-the-Browser)攻撃は、ユーザーPC内でプロキシとして動作するマルウェアによってWebブラウザ~Webサーバ間の送受信をブラウザベースで盗聴および改ざんする攻撃です。インターネットバンキングへのログインを検知して、セッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金するなどの攻撃例があります。同じように送受信を改ざんするMan-in-the-Middle攻撃と異なり、クライアント内で書換えが行われるためWebサーバ側で不正処理を拒否することが難しいという特徴があります。トランザクション署名(Transaction Signature,TSIG)とは、マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法で、増加するMITBの被害を防止するために効果的です。
OTPトークンは振込先口座番号・振込金額を入力されると振込情報に対する署名を表示するようになっています。利用者はWebブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはOTPトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を食い止められます。
OTPトークンは振込先口座番号・振込金額を入力されると振込情報に対する署名を表示するようになっています。利用者はWebブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはOTPトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を食い止められます。
- 正規のWebサイトへのアクセスであっても被害が発生するため対策の効果は期待できません。
- 正しい。トランザクション署名はMITB対策に有効です。
- たとえ書き換えが行われた送信データであっても、利用者が正しいワンタイムパスワードを入力すれば正しい処理要求と認識されてしまうため効果は望めません。
- 書き換えはWebサーバへの送信処理前に行われるため、Webサーバが受信する暗号化データは書き換え後のものになります。このため、たとえTLSであってもMITBに対する効果は望めません。