同じ利用者IDに対して、総当たりで力任せにログインの試行を繰り返す攻撃

同じパスワードを使って様々な利用者IDに対してログインを試行する攻撃

攻撃の時間と攻撃元を変え、複数の利用者IDを同時に試す攻撃

辞書に出てくるような定番の用語を順に使用してログインを試みる攻撃

盗聴することでパスワードを知る方法

パスワードなどの認証情報を送信しているパケットを取得し、それを再度送信することでユーザになりすます攻撃

他のサイトで取得したパスワードのリストを利用して不正ログインを行う攻撃

パスワードがハッシュ値で保管されている場合に、あらかじめパスワードとハッシュ値の組み合わせリストを用意しておき、そのリストと突き合わせてパスワードを推測し不正ログインを行う攻撃

バッファの長さを超えるデータを送り込むことによって、バッファの後ろにある領域を破壊して動作不能にし、プログラムを上書きする攻撃

通常はアクセスできないデータにアクセスしたり更新したりする攻撃

制御文字を置き換える処理

事前にあらかじめSQL文を組み立ておくデータベース機能

悪意のあるスクリプトを、標的となるサイトに埋め込む攻撃

WebサーバとWebブラウザとの間で情報をやり取りする仕組み、ユーザを識別するなどの目的で使用

Webサイトにログイン中のユーザのスクリプトを操ることで、Webサイトに被害を与える攻撃

HTTPヘッダの中に不正なスクリプトなどを注入して行われる攻撃

Webサーバからの応答を二つに分割されることによって、Webサーバのキャッシュを偽造する攻撃

Webサイトのパス名に上位のディレクトリを示す記号を入れることで公開が予定されていないファイルを指定する攻撃

別のユーザのセッションIDを不正に利用することでそのユーザになりすましてアクセスする手口

コンピュータの基本ソフトウェアであるOSに対して攻撃者からOSコマンドを受け取って実行してしまう攻撃

Webサイトのリンクやボタンなどの要素を隠蔽したり偽装したりしてクリックを誘い利用者の意図しない動作をさせる手法

Webブラウザなどを通して、ユーザに気づかれないようにソフトウェアなどをダウンロードされる行為

サーバなどのネットワーク機器に大量のパケットを送るなどして、サービスの提供を不能にする攻撃

踏み台と呼ばれる複数のコンピュータから一斉に行うDoS攻撃

クラウドサービス利用者を経済的な損失を目的に、リソースを大量消費させるDoS攻撃

送信元を攻撃対象に偽装したパケットを多数のコンピュータに送信し、その応答を攻撃対象に集中させる

関係のない第三者がメールを送る中継点などとしてメールサーバを利用する攻撃

メールサーバでの第三者中継

DNSサーバでの第三者中継

第三者中継によって攻撃の拠点にされること

サーバなどで利用するIPアドレスを偽装して、他のサーバなどになりすますこと

URLなどにあるホスト名やドメイン名とIPアドレスを変換する名前解決のプロトコル

DNSサーバのキャッシュに不正な情報を注入するこどで、不正なサイトへのアクセスを誘導する攻撃

DNSの応答を利用したDDoS攻撃で、リフレクション攻撃(DRDoS)のの一種

攻撃者が、オープンリゾルバ(誰でも接続できるDNSキャッシュサーバ)に対して、特定のドメインの実在しないランダムなサブドメインを多数問い合わせる攻撃

ドメイン名の権限を持たない人が何らかの方法でドメイン名を乗っ取る行為全般

Web検索サイトの順位付けアルゴリズムを悪用する攻撃

信頼できる機関を装い、偽のWebサイトに誘導する攻撃

攻撃者がクライアントとサーバとの通信の間に入り込み、クライアントと攻撃者との間の通信を、攻撃者とサーバとの間の通信として中継することによって、正規の相互認証が行われているように見せかける攻撃

中間者攻撃の応用で、マルウェアを利用してWebブラウザの通信を中継して盗聴、改ざんを行う攻撃

標的型攻撃の別名

暗号化鍵と復号鍵が同じ暗号方式

暗号化鍵と復号鍵が異なる暗号方式

標的型攻撃で、マルウェアが通信する外部の悪意のあるサーバ

マルウェアに感染した後でその被害を外部に広げないための対策

ブロックごとに暗号化するブロック暗号の一種

暗号解読手法の一つで、暗号を処理している装置の動作などを観察・測定することによって機密情報を取得しようとする攻撃

ビット単位で少しずつ暗号化を行っていくストリーム暗号の一種

ソフトウェアにセキュリティホール（脆弱性）が発見されたときに、それの対処法や修正プログラムが提供されるまでの間にその脆弱性を攻撃すること

DESを3回繰り返して暗号化を行う方式

攻撃の準備として、ネットワーク上に存在している情報を収集すること

米国国立標準技術研究所が規格化した新世代標準の方式

AIに対し、認識させる画像の中に人間には知覚できないノイズや微小な変化を含めることによって誤った判定を行わせる攻撃

NTTと三菱電機が共同で2000年に開発した共通鍵ブロック暗号

AIに対し、学習されたモデルから元の画像を取得し、学習元の画像などの機密情報を得るための攻撃

九州大学とKDDIにより共同開発されたストリーム暗号

他人のPCで勝手にプログラムを稼働させて、マイニング（暗号通貨の採掘）をさせる攻撃

仮想通貨の一種で、オープンな取引を行う暗号通貨

通信経路を匿名化するための技術、及びそれを実現するソフトウェア

URLでディレクトリを指定すると、ディレクトリに含まれるファイル一覧を表示するWebサーバの機能

インターネット上で到達可能、かつ未使用のIPアドレス空間

ダークネットに存在する、アクセスするのに特別なソフトウェアでの認証が必要となるWebサービス

大きい数での素因数分解の困難さを安全性の根拠とした最も一般的に使用されている公開鍵暗号方式

事前の秘密(共通鍵などの秘密の情報)の共有なしに暗号鍵の共有を可能とする、鍵共有のための公開鍵暗号方式

公開鍵暗号方式の一つで有限体上の離散対策問題を安全性の根拠とした署名アルゴリズム

楕円曲線上の離散対数問題を安全性の根拠とした公開鍵暗号方式

データを固定長の関数を用いてランダムに見える値に書き換えること

ハッシュによる効果

ハッシュ関数において、ハッシュ値が一致する二つのメッセージを発見することの困難さ

与えられた入力に対して128ビットのハッシュ値を出力するハッシュ関数

NISTが規格化した、与えられた入力に対して160ビットのハッシュ値を出力するハッシュ関数

SHA-1の後継で、NISTが規格化したハッシュ関数

パスワードをハッシュ値に変換する際に付加されるデータ

メッセージに共通鍵を付加したものをハッシュ関数で変換した値

考案された当時は容易に解読できなかった暗号アルゴリズムがコンピュータの性能の飛躍的な向上によって解読されやすい状態になること

認証されるもの(被認証者)について、認証が必要な場所で直接行う認証方法

被認証者と認証場所とは別に、認証する者(認証者)が存在し、認証者が認識を行う方法

送信者の秘密鍵で暗号化し、それを受け取った受信者の公開鍵で復号することで真正性を確認、さらにハッシュも組み合わせることでデータの改ざんも検出する認証方法

ファイルの書き方のルールの一つであるXML形式のデータにくっつけることを想定して作られた電子署名

通常と異なる環境からログインしようとする場合などに、通常の認証に加えて合言葉などによる追加認証を行う認証方式

送信されたデータの内容の完全性を確認すること

メッセージ認証を行うときに、元のメッセージに送信と受信者が秘密として共有する、共通鍵暗号方式の共通鍵を加えて生成したコード

金融機関などの取引で、送金内容に対してメッセージ認証を行う方式

メッセージに、ある出来事が発生した日時を表す情報を付加してタイムスタンプを作成することで生成時刻を認証する方式

時刻認証によって証明できること2つ

認証場所(サーバなど)が毎回異なる情報を被認証者(ユーザなど)に送る認証方式

本人認証を行うときに使用する3要素

3要素のうち2種類以上を組み合わせて認証の強度を上げる手法

ユーザ名とパスワードを組み合わせて行う認証

パスワードを忘れてしまったときに利用者が事前に秘密の質問を設定し、それに答えることで認証を行う仕組み

様々なものに設定したパスワードを忘れないように、1カ所にまとめて管理するツール

ユーザ名とパスワードの盗聴による不正利用を避けるために、ネットワーク上を流れるパスワードを毎回変える手法

認証の助けとなるような物理的なデバイス

ハッシュ関数を利用して、ワンタイムパスワードを生成する方式

一度の認証で複数のサーバやアプリケーションを利用できる仕組み

シングルサインオンの3手法

インターネット上で異なるWebサイト間での認証を実現するために、標準化団体OASISが考案したフレームワーク

通常と異なる環境からログインしようとする場合などに、通常の認証に加えて、合言葉などによる認証を行う認証方式

ネットワーク上のユーザやマシンなどの様々な情報を一元管理するためのサービス

通常の磁気カードと異なり、情報の記録や演算をするためにICを組み込んだカード