【かんたん解説】インターネットバンキングでのMITB攻撃による不正送金について,対策として用いられるトランザクション署名の説明はどれか。

情報セキュリティマネジメント試験

問題

「出典:令和元年度 秋期 情報セキュリティマネジメント試験 午前 問13」

ア 携帯端末からの送金取引の場合,金融機関から携帯端末の登録メールアドレスに送金用のワンタイムパスワードを送信する。
イ 特定認証業務の認定を受けた認証局が署名したディジタル証明書をインターネットバンキングでの利用者認証に用いることによって,ログインパスワードが漏えいした際の不正ログインを防止する。
ウ 利用者が送金取引時に,送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。
エ ログイン時に,送金処理を行うPCとは別のデバイスによって,一定時間だけ有効なログイン用のワンタイムパスワードを算出し,インターネットバンキングに送信する。

かんたん解説

トランザクション署名とは、入力した情報と、サーバが受信した情報に差異が無いことを確かめる技術です。

オンラインバンキングをやったことがある人は、電卓みたいな端末を使うことがあると思うのでイメージはしやすいと思いますが、例えばローソン銀行の場合はこんなかんじです。

参考)
https://www.lawsonbank.jp/business/guide/03_2/

図の中にある振込先口座番号と、電卓の中に入っている暗号鍵を合わせてハッシュ値(トランザクション署名7桁)を出すんですね。

銀行側でも同様の計算をして、この7桁があっているかどうかで、確かに本人であるという認証とします。この電卓端末を持っている人だけが出力できるハッシュ値(トランザクション署名)になりますので。

ということで、正解は(ウ)ですね。

コメント

タイトルとURLをコピーしました