情報処理安全確保支援士試験 令和5年秋期午前Ⅱ トランザクション署名
出典:令和5年秋期 午前Ⅱ 問7
分野:セキュリティ / 情報セキュリティ対策
インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。
- ア:携帯端末からの送金取引の場合,金融機関から利用者の登録メールアドレスに送金用のワンタイムパスワードを送信する。
- イ:特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
- ウ:利用者が送金取引時に,"送金操作を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値"をインターネットバンキングに送信する。
- エ:ログイン時に,送金操作を行うPCとは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。
TSUNAGARU-ADVICE
まず押さえたいこと
トランザクション署名は、ログイン本人確認だけでなく、送金先口座番号や金額などの取引内容にひも付いた確認値を生成する仕組みです。
迷ったときの判断軸
MITB攻撃では、利用者のPC上で取引内容が改ざんされる可能性があります。そのため、送金操作を行うPCとは別のデバイスに取引情報を入力し、その取引内容に対応した値をインターネットバンキングに送信すると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、多要素認証やワンタイムパスワードだけでなく、認証した利用者が意図した取引内容かどうかまで確認できるかが問われます。トランザクション署名は、ログイン用の認証ではなく、取引内容の改ざん検知に有効な対策として理解しておきましょう。
トランザクション署名は、インターネットバンキングなどで、振込内容が途中で改ざんされていないかを確認する仕組みです。MITB攻撃への対策として使われます。
MITB攻撃では、利用者のPCに感染したマルウェアが、ブラウザ上の取引内容を書き換えることがあります。たとえば、利用者は正しい振込先を入力したつもりでも、マルウェアによって別の口座に変更されるおそれがあります。
トランザクション署名では、利用者がハードウェアトークンに振込先口座番号や振込金額を入力します。すると、トークンはその取引内容に対応した専用の署名コードを作成します。
利用者は、Web画面に振込先・金額・署名コードを入力して送信します。金融機関のサーバは、送られてきた取引内容と署名コードが正しく対応しているかを確認します。
もしマルウェアが通信途中で振込先や金額を書き換えても、署名コードは元の取引内容に基づいて作られています。そのため、サーバ側で内容と署名が一致せず、不正な取引として拒否できます。
つまりトランザクション署名は、「振込先や金額そのものにひも付いた確認コードを使い、取引内容の改ざんを防ぐ仕組み」と考えると分かりやすいです。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:携帯端末からの送金取引の場合,金融機関から利用者の登録メールアドレスに送金用のワンタイムパスワードを送信する。
⇒ワンタイムパスワードの説明です。取引情報に基づいて署名値を生成するトランザクション署名ではありません。
イ:特定認証業務の認定を受けた認証局が署名したデジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
⇒利用者認証にデジタル証明書を用いる説明です。送金先や金額などの取引内容に対する署名ではありません。
エ:ログイン時に,送金操作を行うPCとは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。
⇒ログイン用ワンタイムパスワードの説明です。取引内容の改ざん対策であるトランザクション署名ではありません。