平成29年 春期 情報処理安全確保支援士 午前II 問11

インターネットバンキングの利用時にもたらすMITB(Man-in-the-Browser)攻撃に有効な対策はどれか。

 ア  インターネットバンキングで送金時にWebブラウザで利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用する。
 イ  インターネットバンキングの送金時に接続するWebサイトの正当性を確認できるよう、EV SSLサーバ証明書を採用する。
 ウ  インターネットバンキングでのログイン認証において、一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
 エ  インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。


答え ア


解説

 ア  トランザクション署名を利用することはMITB攻撃の対策として有効です。
 イ  正規のWebサイトであってもMITB攻撃による被害は発生します。
 ウ  汚染されたデータに対して、利用者がワンタイムパスワードによる認証を行ってしまうようなケースがあるので被害を防げません。
 エ  SSL/TLSの暗号化は送信するデータが整ってから行われるため、その前にデータの書き換えを行うMITB攻撃には有効な対策となりません。


キーワード
・Man-in-the-Browser攻撃

キーワードの解説
  • Man-in-the-Browser攻撃(MITB攻撃)
    ネットワークを通じた攻撃手法の一つで、攻撃対象の利用するコンピュータにトロイの木馬など悪意のあるソフトウェア(マルウェア)を潜り込ませ、Webブラウザなどの通信を監視して通信内容を改ざんしたり操作を乗っ取る攻撃手法です。

もっと、「MITB攻撃」について調べてみよう。

戻る 一覧へ 次へ