見出し画像

【登録セキスペ3問】MITB対策「トランザクション署名」(情報処理安全確保支援士試験)

せんない

このNoteでは、SC10回分から「トランザクション署名」の問題を搔き集めました。

たった3問で対策は完璧です。

トランザクション署名は、ハッシュ値やデジタル署名と同じ。「内容が改ざんされているかを検証できる」に尽きます。

また、「中間者攻撃」「MITB」は、午後問題で重宝されます。選択肢にも「クライアント証明書」「サーバ証明書」が登場します。

午後問題へのツナギとしても重要になるので、是非読んで行ってくださいね。

それでは始めましょう!




インターネットバンキングにおける中間者攻撃であるMITB(Man-in-the-Browser)攻撃への対策はどれか。

ア:送金時に接続するWebサイトの正当性を確認できるように、EV SSLサーバ証明書を採用する。
イ:送金時において、利用者の入力情報と金融機関の受信情報に差異がないか検証できるようにトランザクション署名を利用する。
ウ:ログイン認証にて、一定時間毎に変更されるワンタイムパスワードは導入する。
エ:バンク利用時の通信をSSLではなくTLSにて暗号化するようWebサイトを設定する。

情報安全確保支援士 令和04年春AMII問11より改変
令和02年秋AMII問10より改変

正答はイ。

  • ア:MITBは、Webサーバへの通信途中で不正が行われるので、正当なWebサーバに接続しても対策にはなりません。

  • イ:正しい。トランザクション署名を検証すれば、送信データが改ざんされていないか確認できます。

  • ウ:ワンタイムパスワードを確認しても、通信データが改ざんされているかは確認できません。

  • エ:MITB攻撃はブラウザ内で行われるので、暗号化前の段階です。送信する内容そのものが改ざんされるので、暗号化は意味はありません。


中間者攻撃は、通信経路上(やブラウザ)にて不正が行われます。MITB攻撃は中間者攻撃の1種です。午後問題で、攻撃名を問われてたらとりあえず書いてもOKなぐらい頻出用語です。


なお、SSLとTLSは区別しないでOKです。元々SSLが開発され、標準化されTLSになりました。問題文でSSL, TLS, SSL/TLSと書かれていても同じものと思って大丈夫です。




ネットバンクにおけるMITB攻撃の不正送金対策で使われるトランザクション署名の説明はどれか。

ア:送金取引をする時、バンクから利用者に送金用のワンタイムパスワードを送信する。
イ:デジタル証明書を利用者認証に用いることで、ログインパスワードが漏えいした際の不正ログインを防止する。
ウ:利用者が送金取引する時、入力端末とは別の装置に送金情報を入力して得た値もバンクに送信する。
エ:バンクにログインする時、一定時間だけ有効なワンタイムパスワードを算出して使う。

情報安全確保支援士 令和05年秋AMII問07より改変

正答はウ。

  • ア:2段階認証に近いです。

  • イ:クライアント証明書。「正当な利用者本人ですよ」と証明する名刺みたいなものです。

  • ウ:正しい。送金情報から発行した独自の値、デジタル署名を連想しますよね。

  • エ:ログインパスワードとしてワンタイムパスワードを使っている事例。


正当な利用者である証明書は「クライアント証明書」、正当なサーバである証明書は「サーバ証明書」です。午後問題で記述に困ったら、とりあえず書いてみてOKなレベルで使える言葉です。


大丈夫だと思いますが、デジタル署名を載せておきます。>解説Note




ネットバンクで取引する時に、ハードウェアトークンによってトランザクション署名を発行する。次の(4)によってできることはどれか。なおハードウェアトークンは利用者ごとに異なる。
【処理】
(1)ハードウェアトークンに振込先口座番号・振込金額を入力し、メッセージ認証符号(MAC)を得る。
(2)バンクのWebサイトに、振込先口座番号・振込金額・MACを入力して送信ボタンを押す。
(3)Webサイト側では、振込先講座番号と振込金額からMACを生成する。
(4)Webサイト側で、利用者から送られてきたMACと、(3)で生成したMACを比較する。


ア:通信経路上で盗聴が行われているか確認できる。
イ:通信経路上での盗聴者を特定できる。
ウ:振込先口座番号・振込金額が改ざんされていないことを確認できる。
エ:振込先口座番号・振込金額の改ざん箇所を訂正できる。

情報安全確保支援士 平成31年春AMII問08より改変

正答はウ。

ハードウェアトークンのアルゴリズムは非公開なので、利用者本人とバンクWebしか正しい値を生成できません。

ハッシュ値やデジタル署名と似たような技術です。



お疲れ様でした!


デジタル署名は色んなところで使われていますね。

今回のトランザクション署名もですが、時刻符号を交えたタイムスタンプ。さらにデジタル証明書になると、クライアント証明書やサーバ証明書などです。

ハッシュ値やデジタル署名・デジタル証明書などをPKI(公開鍵暗号基盤)とはよくいったものです。たしかに基盤ですね。

ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。


\私がお世話になったテキストのレビュー/

\私の3ヶ月の学習履歴/

p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ

この記事が参加している募集

#スキしてみて

558,155件

学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ