令和2年秋期午前Ⅱ 調査メモ (NOTICE/3Dセキュア/MITB) - 情報処理安全確保支援士合格を目指すブログ

問6関連 NOTICEとNICTとは？

--抜枠--

NOTICEは、総務省、国立研究開発法人情報通信研究機構（NICT）及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組です。
---------

問9 3Dセキュアとは？

PINとは別物で、クレジット発行会社に登録済みのパスワードで本人認証を行う。

--抜枠--

「本人認証サービス（3Dセキュア）」とは、インターネットショッピングの際、クレジットカード情報だけでなく本人認証パスワードによりご本人様確認をおこなうことで、不正使用を未然に防止するサービスです。

----------

なお、楽天カードだと2023年10月より以下のように認証方法が変更されているのでワンタイムパスワードが主流か。

--抜枠--

＜変更前＞
楽天e-NAVIにて会員様が設定された固定のパスワードでの認証

＜変更後＞
ご登録中の携帯電話番号宛に届くワンタイムパスワードでの認証

----------

問10インターネットバンキングの利用時に被害をもたらすMITB(Man in the Browser)攻撃に有効な対策はどれか。

◾️MITB攻撃とMITMMan-in-the-Middle)攻撃の違いは？

・MITB攻撃->被害者のブラウザ内(つまりクライアント内)で動作する悪意のあるコードを利用して、ユーザーの行動を盗聴または改ざんします。

・MitM攻撃->通信経路全体を攻撃者が傍受または制御することで、通信内容を盗み見たり改ざんしたりします。

ユーザーがオンラインで行う取引やアクションに対して、サーバー側で生成された署名がクライアント（ユーザー）によって確認・承認されます。

◾️トランザクション署名のメリットは？

クライアントPCがウィルスに汚染され、MITB（Man in the browser）攻撃が行われた際にも、入力情報の正当性を認証サーバ側で検証し、リスクを低減することが可能となる。

◾️トランザクション署名の処理の流れは？

トランザクション署名の基本的な仕組みは以下の通りです：

1.サーバー側の署名生成: サーバーは、ユーザーの要求に対して署名を生成します。これには、取引の詳細や一意のトークンなどが含まれます。

2.クライアントへの署名送信: サーバーが生成した署名は、セキュアな手段でクライアントに送信されます。通常、この署名はセッション中に一意の方法で関連付けられています。

3.クライアントによる確認・承認: クライアント（ユーザー）は、サーバーから受け取った署名を確認し、取引内容やアクションに同意するために署名を承認します。これは通常、クライアントが保有するデバイス（スマートフォン、トークンデバイスなど）を介して行われます。

4.署名の検証: サーバーはクライアントが承認した署名を受け取り、サーバー側でもその署名を検証します。署名が有効であれば、取引やアクションは正当化されます。

トランザクション署名の導入により、MITB攻撃が成功しても攻撃者が取引内容を改ざんすることが難しくなります。

↓以下は別の記事で

問17 IP25B/OP25B

問18 DHCPDISCOVER

問20 スパニングツリープロトコル

問21 DBMSのコミットのタイミング