特徴
- MITB(Man-in-the-Browser)攻撃とは、Webサービス利用時の通信に対して、利用者のWebブラウザとWebサーバ間の通信に介入する攻撃のことで、利用者のパソコンなどに入り込んだマルウェアなどによって行われる。
- マルウェアは、利用者が入力した情報(送金先や金額など)を改ざんしてWebサーバに送信する。Webブラウザ上には改ざん前の情報として表示されるため、利用者が気づくことができない。
- 対策としては、Webブラウザで利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用するのが有効である。
- トランザクション署名の一つであるテンキー付きのハードウェアトークン利用の場合、利用者が情報を入力すると署名値が計算されて表示される。
Webブラウザに情報と署名値を入力することで、攻撃者では改ざんした情報から正しい署名値を算出することができないため、Webサーバ側で不正な情報と認識できる。
- トランザクション署名の一つであるテンキー付きのハードウェアトークン利用の場合、利用者が情報を入力すると署名値が計算されて表示される。
過去問
情報処理安全確保支援士試験 令和2年度 秋期 午前2 問10
情報処理安全確保支援士試験 平成30年度 秋期 午前2 問9
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午前2 問10(一部、加工あり)】
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問9(一部、加工あり)】
インターネットバンキングの利用時に被害をもたらすMITB攻撃に有効な対策はどれか。
- インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用する。
→正解 - インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう、EV SSLサーバ証明書を採用する。
→MITB攻撃では、Webブラウザが正規のWebサーバと接続した後のセッションに介入するため、EV SSLサーバ証明書を採用しても対策にはなりません。 - インターネットバンキングでのログイン認証において、一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパススワードを用意する。
→MITB攻撃では、ログイン認証後のセッションに介入するため、ワンタイムパスワードを利用しても対策にはなりません。 - インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
→MITB攻撃では、Webブラウザ内の平文の通信区間に介入するため、TLSを利用しても対策にはなりません。