HOME»情報セキュリティマネジメント令和元年秋期»午前問13
情報セキュリティマネジメント令和元年秋期 午前問13
問13
インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
- 携帯端末からの送金取引の場合,金融機関から携帯端末の登録メールアドレスに送金用のワンタイムパスワードを送信する。
- 特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
- 利用者が送金取引時に,送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。
- ログイン時に,送金処理を行うPCとは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
ウ
解説
トランザクション署名(Transaction Signature:TSIG)とは、重要な操作を行う場面において、マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法で、増加するMITB(Man-in-the-Browser)の被害を防止するために効果的なセキュリティ対策です。
金融機関から提供されるトークン(ワンタイムパスワードを生成する小型機器)は、振込先口座番号・振込金額の入力を受けて、振込情報に対する署名を生成するようになっています。利用者は、Webブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を未然に防ぐことができます。
トランザクション署名とは、振込金額、振込先口座等のトランザクション情報からトークンによって生成される署名ですので「ウ」が正しい説明です。
金融機関から提供されるトークン(ワンタイムパスワードを生成する小型機器)は、振込先口座番号・振込金額の入力を受けて、振込情報に対する署名を生成するようになっています。利用者は、Webブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を未然に防ぐことができます。
- 二要素認証の説明です。
- クライアント認証の説明です。トランザクション署名は不正ログインを防止する技術ではありません。
- 正しい。トランザクション署名の説明です。
- トークンを使ったワンタイムパスワードの仕組みです。トランザクション署名は利用者からの要求を認証するための技術であり、不正ログインを防止する技術ではありません。