平成29年春期試験問題 午前Ⅱ 問11
問11解説へ
インターネットバンキングの利用時に被害をもたらすMITB(Man-in-the-Browser)攻撃に有効な対策はどれか。
- インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
- インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう,EV SSLサーバ証明書を採用する。
- インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
- インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
正解 ア問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
中分類:セキュリティ
小分類:情報セキュリティ対策
広告
解説
Man-in-the-Browser攻撃(MITB)は、ユーザーPC内でプロキシとして動作するマルウェアによってWebブラウザ~Webサーバ間の送受信をブラウザベースで盗聴および改ざんする攻撃です。インターネットバンキングへのログインを検知して、セッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金するなどの攻撃例があります。同じように送受信を改ざんするMan-in-the-Middle攻撃と異なり、クライアント内で書換えが行われるためWebサーバ側で不正処理を拒否することが難しいという特徴があります。トランザクション署名(Transaction Signature,TSIG)とは、マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法で、増加するMITBの被害を防止するために効果的です。
OTPトークンは振込先口座番号・振込金額を入力されると振込情報に対する署名を表示するようになっています。利用者はWebブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはOTPトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を食い止められます。
OTPトークンは振込先口座番号・振込金額を入力されると振込情報に対する署名を表示するようになっています。利用者はWebブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはOTPトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を食い止められます。
- 正しい。トランザクション署名はMITB対策に有効です。
- 正規のWebサイトへのアクセスであっても被害が発生するため効果は望めません。
- たとえ書き換えが行われた送信データであっても、利用者が正しいワンタイムパスワードを入力すれば正しい処理要求と認識されてしまうため効果は望めません。
- 書き換えはWebサーバへの送信処理前に行われるため、Webサーバが受信する暗号化データは書き換え後のものになります。このため、たとえTLSであってもMITBに対する効果は望めません。
広告