令和元年秋期試験問題 午前問13
問13解説へ
インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
- 携帯端末からの送金取引の場合,金融機関から携帯端末の登録メールアドレスに送金用のワンタイムパスワードを送信する。
- 特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
- 利用者が送金取引時に,送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。
- ログイン時に,送金処理を行うPCとは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。
正解 ウ問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
中分類:セキュリティ
小分類:情報セキュリティ対策
広告
解説
トランザクション署名(Transaction Signature)とは、マルウェアの影響を受けないハードウェアトークンが、振込先口座番号や振込金額といった取引内容を入力として専用の署名コードを生成し、そのコードを用いて取引の正当性を確認する仕組みです。MITB(Man-in-the-Browser)攻撃の対策として使用されます。
金融機関が提供するハードウェアトークンは、利用者が振込先口座番号や振込金額を入力すると、その内容に基づいた署名を生成する仕組みになっています。利用者は、Webブラウザ上で振込先情報と金額に加えて、トークンが作成した署名文字列を入力し、Webサーバに送信します。Webサーバ側では、送信された情報と署名の整合性を確認し、正しい場合にのみ振込処理を実施します。マルウェアはトークンが生成する署名を入手できないため、もし通信途中で内容が書き換えられても、Webサーバが不正と判断して処理を拒否することでMITB攻撃を防止できます。
トランザクション署名は、振込金額・振込先口座等のトランザクション情報からトークンによって生成される署名であるため、正しい説明は「ウ」です。
金融機関が提供するハードウェアトークンは、利用者が振込先口座番号や振込金額を入力すると、その内容に基づいた署名を生成する仕組みになっています。利用者は、Webブラウザ上で振込先情報と金額に加えて、トークンが作成した署名文字列を入力し、Webサーバに送信します。Webサーバ側では、送信された情報と署名の整合性を確認し、正しい場合にのみ振込処理を実施します。マルウェアはトークンが生成する署名を入手できないため、もし通信途中で内容が書き換えられても、Webサーバが不正と判断して処理を拒否することでMITB攻撃を防止できます。
- 二要素認証の説明です。
- クライアント認証の説明です。トランザクション署名は不正ログインを防止する技術ではありません。
- 正しい。トランザクション署名の説明です。
- トークンを使ったワンタイムパスワードの仕組みです。トランザクション署名は利用者からの要求を認証するための技術であり、不正ログインを防止する技術ではありません。
広告