情報セキュリティマネジメント令和元年秋期 午前問13

午前問13

インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
  • 携帯端末からの送金取引の場合,金融機関から携帯端末の登録メールアドレスに送金用のワンタイムパスワードを送信する。
  • 特定認証業務の認定を受けた認証局が署名したディジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
  • 利用者が送金取引時に,送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。
  • ログイン時に,送金処理を行うPCとは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

トランザクション署名(Transaction Signature,TSIG)とは、マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法で、増加するMITB(Man-in-the-Browser)の被害を防止するために効果的です。

トークン(ワンタイムパスワードを生成する小型機器)は、振込先口座番号・振込金額を入力でき、入力に対して振込情報に対する署名を表示するようになっています。利用者はWebブラウザの画面で振込先口座番号・振込金額とともに署名文字列を入力しWebサーバに送信します。そしてWebサーバは入力内容と署名の正当性を検証し、正しい場合にだけ処理を実行します。マルウェアはトークンで生成される署名を特定できないため、もし通信経路上で書き換えが行われたとしても、Webサーバ側で処理要求を拒否することでMITBの被害を食い止められます。
13.gif/image-size:550×279
トランザクション署名とは、振込金額、振込先口座等のトランザクション情報からトークンによって生成される署名ですので「ウ」が正しい説明です。
  • 二要素認証の説明です。
  • クライアント認証の説明です。トランザクション署名は不正ログインを防止する技術ではありません。
  • 正しい。トランザクション署名の説明です。
  • トークンを使うことは適切ですが、トランザクション署名は不正ログインを防止する技術ではありません。
data-full-width-responsive="true">
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop