資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

SC 情報セキュリティ対策②

 

 インターネットバンキングの利用時に被害をもたらすMITB(Man in the Browser)攻撃に有効な対策はどれか。

  1. インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう,EV SSLサーバ証明書を採用する。
  2. インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
  3. インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
  4. インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。

解答・解説

解答

 イ

解説

 MITB(Man in the Browser)攻撃は、PCに侵入したマルウェアが、利用者のインターネットバンキングへのログインを検知して、Webブラウザから送信される振込先などのデータを改ざんする攻撃です。

  1. インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう,EV SSLサーバ証明書を採用する。
    MITB攻撃では、接続するWebサイトは正当であるため、有効ではありません。

  2. インターネットバンキングでの送金時に利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
    正しいです。
    MITB攻撃による入力情報の改ざんを検知できます。

  3. インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
    MITB攻撃では、ログイン認証は利用者自身が行うため、有効ではありません。

  4. インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
    MITB攻撃に対しては、通信の暗号化は、有効な対策ではありません。

参考情報

分野・分類
分野 テクノロジ系
大分類 技術要素
中分類 セキュリティ
小分類 情報セキュリティ対策
出題歴
  • SC 令和2年度秋期 問10
  • SC 平成30年度秋期 問9
  • SC 平成29年度春期 問11

前問 一覧 次問