平成30年度 秋期 情報処理安全確保支援士試験 午前II 問9

【解説】

ア: インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用する。
正しい。MITB（Man-In-The-Browser）攻撃は、ブラウザ内に不正なコードを挿入し、利用者が送信する情報を改ざんする攻撃です。トランザクション署名は、送信者が入力したデータを確認し、その正当性を検証する手段として有効です。

イ: インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう、EV SSLサーバ証明書を採用する。
誤り。EV SSLサーバ証明書はWebサイトの正当性を保証しますが、MITB攻撃でブラウザ内の通信が改ざんされる問題を防ぐことはできません。

ウ: インターネットバンキングでのログイン認証において、一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
誤り。ワンタイムパスワードは認証時のセキュリティを高める方法ですが、MITB攻撃ではトランザクション自体が改ざんされるため、根本的な対策にはなりません。

エ: インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
誤り。TLSは通信の暗号化を提供しますが、MITB攻撃では通信内容が改ざんされるため、暗号化では防げません。