情報セキュリティ論
問題一覧
1
ファーミング攻撃に利用されると、正規のホスト名を入力しても別のIPアドレスに変換され偽のWebサイトへ転送される
hostsファイル
2
偽のアクセスポイントを設置して利用者の通信内容を盗聴する詐欺。
フリーのアクセスポイントを装っており、利用者が気づかないままオンラインショッピングなどを行うとIDやパスワードが盗まれる。
Wiフィッシング
3
無線LANの一般的なユーザ認識方式
パーソナルモード
4
ファーミング攻撃に利用されると、レコードを不正に書き換えて、偽のWebサイトへ転送される。
DNSサーバ
5
古くからある無線LANの暗号化方式。
RC4というアルゴリズムを利用していたが、同じ共通鍵を使い続けるという点と、致命的な脆弱性が見つかったため現在は使用されていない。
WEP
6
携帯電話のショートメッセージを悪用した詐欺で、不在の荷物連絡や料金未払い、クレジットカードの有効期限などの内容で偽の Web サイトへ誘導するようなメッセージが送られてくる。
スミッシング
7
EAP や RADIUS などのプロトコルと専用の認証サーバを利用して、無線 LAN のユーザ認証を行う方式。
エンタープライズモード
8
ファーミング攻撃に利用されると、偽の DNSサイトの情報をクライアントに教え、偽のWeb サイトへ転送される。
DHCPサーバ
9
最も主流な暗号化方式。暗号化アルゴリズムに AES を採用した方式で、RC4 +TKIP よりもはるかに安全な方式。
WPA2
10
大物を釣るための攻撃で、スピアフィッシングの手口をより巧妙にして、経営幹部やお金の管理をしている財務担当者などを標的とする。
ホエーリング
11
システムの脆弱性を悪用して、システムへ不正侵入を試みる行為や不正なプログラム。
エクスプロイト
12
正規のユーザ認証なしでアクセスが可能な入口。
攻撃者が設置する場合もあるが、製品開発のためのテスト用として開発者が自ら設置する場合もある。
バックドア
13
脆弱性が公開されてから修正プログラムがリリースされるまでの期間に行われる。
ゼロデイ攻撃
14
Web ページの脆弱性を狙って、悪意あるスクリプトを実行させる攻撃。
反射型、格納型DOM Mased 型などがある。
XSS
15
プログラムの誤作動を悪用し、リターンアドレスを使って不正なプログラムコードを実行する。
バッファオーバーフロー攻撃
16
検索ボックスやフォームなどに入力する文字列が本来の意味なのかを Web アプリケーション側で判断する。
例えば、ID に人の名前以外が入っている場合は無効とするなど。
バリデーション処理
17
入力フォームから取得した文字列内に特殊文字(>,<,“”,@,&等)が含まれる場合、別の文字に置き換えるなどの処理のこと。
サニタイジング
18
バックドアの機能を備え、遠隔地からシステムを操作するなど、攻撃活動に有効な機能を併せ持つツール。
RAT
19
本来は ID やパスワードを入力する箇所にSQL 文を入力することで誤作動を起こさせ、データベースを不正に操作する。
SQLインジェクション
20
エクスプロトイの成功後に実行されるプログラム。
ペイロード
21
DoS 攻撃の中でも TCP の特性を悪用したもので、対象のバッファ( backlog-queue)を溢れさせることで正規のユーザとコネクションが確立できないようにする攻撃。
SYNフラッド攻撃
22
IRC(Internet Relay Chat)のチャットサービスを利用し、 ボットネットにコマンドや指示を出して、不正活動を行う。 最近では Web 掲示板や Twitter などの HTTP 通信を使ってコマンドや指示の送受信が行われる例もある。
C&Cサーバ
23
サービス妨害攻撃とも呼ばれ、標的のシステムに対して大量のデータを送りつける攻撃。
DoS攻撃
24
標的のなったコンピュータをロックして起動不可能にしたり、特定のファイルを暗号化して開けないようにしたりする。
身代金を支払えば元の状態に戻すというような脅迫を行い、送金には足のつかない仮想通貨を指定することが多い。
ランサムウェア
25
プログラムのバグなどの脆弱性を悪用して、プログラムの一部を書き換えることでアプリケーションなどのデータに侵入し活動する。
ウィルス
26
TCP の分割前の位置を示すオフセット値を重複させることで処理異常を起こさせる攻撃。
Teardrop攻撃
27
一見便利そうに見えるツールとして動作し、裏ではマルウェアとして動作することで、利用者に攻撃だと気づかせないように活動する。
トロイの木馬
28
他のプログラムに寄生することなくプログラム単体で動作し、USB やネットワークを介して侵入・増殖・感染・発症を行う。
ワーム
29
セキュリティ上のリスクとなり、不正アクセスやウィルス感染の危険性のある状態。
原因はプログラムの不具合や設計上のミス、設定ミス、管理不備などが挙げられる。
脆弱性
30
脆弱性を悪用して実際に社内ネットワークや社内システムに侵入できるかを実施するテスト。
ペネトレーションテスト
31
事前に IP アドレス等の外部からでも入手可能な最小限の情報だけを提供してもらい実施するテスト。
ブラックボックステスト
32
特定のデバイスを制御するファームウェアを不正に書き換えることで、 特定のデバイスを接続しただけでマルウェアに感染したり、コンピュータを破壊したりする機能を持つ。
BadUSB
33
米国の MITRE(マイター)という非営利団体が日々公表された脆弱性に番号(識別子)を付与した情報。
CVE
34
メールアカウントやメールのやり取りなどの情報を盗んだり、他のウィルスに感染させたりすることで被害を拡大させるウィルス。
メールを悪用した他の攻撃との大きな違いは、過去のメールのやり取りから実在する人物の氏名や役職などのパーソナル情報を活用して、正規のメールへの返信を装う手口が用いられる。
Emotet
35
ソフトウェアのバグや脆弱性を修正するためのプログラム。
セキュリティパッチ
36
ブラックボックスとホワイトボックステストの中間で、一部の情報だけを提供してもらい実施するテスト。
グレーボックステスト
37
情報システムの脆弱性に対するオープンで汎用的な評価手法で、 ベンダーに依存しない共通の評価方法を提供。
CVSS
38
事前にシステムやアプリケーションの内部構造などの情報をすべて提供してもらい実施するテスト。
ホワイトボックステスト
39
すべての通信を信頼できないものとして扱い、通信内容を個別に監視・制御することでセキュリティを保障す
る方式。
ゼロトラストセキュリティ
40
状況を詳細に把握するため、更に情報収集・事実確認・分析を行い、インシデントに対して応急処置を行う。
初動対応
41
デジタル鑑識のことで法的な証拠として採用されるレベルで分析する技術。
インシデントに関する情報を端末・サーバ・ネットワーク機器などから収集し、解析・証拠化する。
デジタルフォレンジック
42
セキュリティインシデント発生時に被害を最小限にとどめることを目的とした組織内のチーム。
CSIRT
43
インシデントに関する証拠や原因調査のためのデータを保存し、根本原因の解決を行い、復旧・回復作業を行う。
インシデントレスポンス
44
インシデント発生に備えて機材リストの作成、稼働 OS のバージョン一覧、ネットワーク構成図などの作成や、インシデント発生を想定したオペレーションなどの訓練を実施する。
事前対応
45
インシデントに関するすべての事象を文書化し、経営層や関連部署に報告する。
また、同様のインシデントを発生させないために改善を行う。
事後対応
46
インシデントの緊急性や重要度を選別し、対応の判断を行う。
また、複数のインシデントが発生している場合には優先度順位をつけて対応する。
トリアージ
47
セキュリティインシデントの監視・検知・分析を専門に行うチーム。
SOC
48
通報を受け付けた CSIRT は情報共有をしたのちに、情報提供者に状況を確認する。
検知
49
脅威に狙われたときに弱点になるところ。
脆弱性
50
インシデントレスポンスやデジタルフォレンジックにより復旧作業などの対応を行う。
事後対策
51
専門知識を悪用したブラックハッカー。
クラッカー
52
攻撃的なコンピュータプログラム。
ウィルス
53
バイトテロや入力ミスなどが原因として起きる脅威。
人的脅威
54
法人や個人が所有する情報・ハードウェア、ソフトウェア、人、概念、思想など価値のあるものすべて。
情報資産
55
デバイスには WAF 等のコンピュータセキュリティ、通信インフラには IPS 等のネットワークセキュリティを利用して、攻撃から身を守る仕組みを準備する。
事前対策
56
悪意を持った利用者。
スクリプトキディ
57
ウィルスやワームなどが原因として起きる脅威。
技術的脅威
58
経年劣化や地震・台風などが原因として起きる脅威。
物理的脅威
59
TCP のコネクションの情報とセッションの情報を見て、内部からコネクションを開始した通信は例外的に許可するという機能。
ステートフルパケットインスペクション
60
通信データの中身やトラフィックパターンから異常を検出し、管理者にアラートを送る機能を持つ。
IDS
61
Web アプリケーションや Web サービスへの攻撃を保護するためのセキュリティ装置。
WAF
62
WAN と LAN の間に設置することで安全なエリアを構築する。
境界線型FW
63
無害の通信を攻撃として誤検出すること。
フォールスポジティブ
64
無害の通信を攻撃として誤検出すること。
フォールスポジティブ
65
不審な状態を検出するための通信パターンを定義したファイルを利用する方式。
シグネチャ型
66
パソコンなどのデバイスにインストールすることで、悪意あるソフトウェアによるネットワークアクセスを防止する。
パーソナルFW
67
データの送信料の統計や通信傾向を分析することで不正アクセスを検出する方式。
アノマリ型
68
本来は検出しなければいけない通信を見逃すこと。
フォールスネガティブ
69
通信データの中身やトラフィックパターンから異常を検出し、自動防御(ブロック)する。
IPS
70
情報セキュリティの3要素の1つで、システムが使いたいときにいつでも利用できる状態にすること。
可用性(Availability)
71
AAA 機能の3要素の1つで、認証が完了したユーザがシステムのどこにアクセスしたのかを収集し記録する機能。
経理(Accouting)
72
位置関係を示す特徴的な点や輪郭線等を画像認識技術により抽出し、利用する認証方式。
顔認証
73
情報セキュリティの3要素の1つで、許可された人だけがアクセスできるようにすること。
機密性 (Confidentiality)
74
AAA 機能の3要素の1つで、認証が完了したユーザに対して、アクセスできる範囲を制限する機能。
認可(Authorization)
75
一般的なユーザ ID とパスワード情報を入力後に、一時的な使い捨てのパスワードを使って認証する方式。
ワンタイムパスワード
76
皮膚が線状に隆起した隆線(りゅうせん)が多数集まったものを利用する認証方式。
指紋認証
77
AAA 機能の3要素の1つで、 正しいユーザであることを証明するために ID とパスワードなどで本人確認をする機能。
認証(Authentication)
78
情報セキュリティの3要素の1つで、情報資産(データベースなど)に改ざんや破損が無い状態にすること。
完全性(Integrity)
79
筆庄等の情報を一定時間間隔で収集することで本人確認を行う認証方式。
サイン認証
80
パスワードを固定して、複数ユーザを手当たり次第に試す攻撃。
リバートブルートフォース攻撃
81
アカウント名は固定して、パスワードに使いそうな文字列一覧から手当たり次第に入力する攻撃。
辞書攻撃
82
暗号化されていないデータ。
平文
83
データが送信前と送信後で同じものかを確認するための仕組み。
ハッシュ関数
84
過去のハッキングや情報漏洩で流出したユーザ ID とパスワードの組み合わせを試す攻撃。
パスワードリスト攻撃
85
処理速度は遅い、鍵の総個数は 2n。RSA が最も広く使われている。
公開鍵暗号方式
86
総当たり攻撃とも呼ばれ、パスワードの文字列を1文字ずつ変えながらログインを試行する攻撃。
ブルートフォース攻撃
87
処理速度が速い。鍵の総個数は n(n-1)/2。AES が最も広く使われている。
共通鍵暗号方式
88
平文のアルファベットをすべて同じ方向に同じ数だけずらして暗号化する方式(別名カエサル暗号)。
シーザー暗号
89
最初の鍵交換(共通鍵)には公開鍵暗号を利用し、実際のデータの暗号化には共通鍵を利用する方式。
ハイブリット暗号方式
90
トランスポート層で動作し、 アプリケーション層のプロトコルと組み合わせて利用することで、安全な Web アクセスを可能とする。
TLS
91
インターネットの世界での本人確認のための証明書。
電子証明書
92
暗号化通信と Web サイトの運営者の身元証明の 2 つの機能もつ証明書。
SSLサーバ証明書
93
オレオレ証明書ではないことを保証するために利用される。
EV-SSL証明書
94
公開鍵暗号方式を応用して、データ送信者のデータが改ざんされていないかを検出する仕組み。
デジタル署名
95
各拠点間を VPN の機能が実装されたルータ同士で接続する方式。
VPN 接続に必要な機能はすべてルータで行うため、クライアント PC に VPN ソフトなどをインストールする必要はない。
サイト間VPN
96
電子証明書を発行するための公的な組織で、公開鍵が確かにその人のものであるかを証明する機関。
認証局(CA)
97
独自に構築したプライベート認証局で発行された証明書。
オレオレ証明書
98
VPN の機能が実装されたルータと VPN クライアントがインストールされた端末で接続する方式。
VPN 接続する必要のある端末すべてに事前にソフトウェアをインストールしておく必要がある。
リモートアクセスVPN
99
公開鍵の正当性(本人であること)を保証し、データの改ざんも検知できるセキュリティインフラ。
PKI
100
偽の再帰的な問合せに対して、本物のコンテンツサーバが回答するよりも先に偽の回答を送り込むことで、サーバに偽の情報を覚え込ませる攻撃
DNSキャッシュポイズニング
問題一覧
1
ファーミング攻撃に利用されると、正規のホスト名を入力しても別のIPアドレスに変換され偽のWebサイトへ転送される
hostsファイル
2
偽のアクセスポイントを設置して利用者の通信内容を盗聴する詐欺。
フリーのアクセスポイントを装っており、利用者が気づかないままオンラインショッピングなどを行うとIDやパスワードが盗まれる。
Wiフィッシング
3
無線LANの一般的なユーザ認識方式
パーソナルモード
4
ファーミング攻撃に利用されると、レコードを不正に書き換えて、偽のWebサイトへ転送される。
DNSサーバ
5
古くからある無線LANの暗号化方式。
RC4というアルゴリズムを利用していたが、同じ共通鍵を使い続けるという点と、致命的な脆弱性が見つかったため現在は使用されていない。
WEP
6
携帯電話のショートメッセージを悪用した詐欺で、不在の荷物連絡や料金未払い、クレジットカードの有効期限などの内容で偽の Web サイトへ誘導するようなメッセージが送られてくる。
スミッシング
7
EAP や RADIUS などのプロトコルと専用の認証サーバを利用して、無線 LAN のユーザ認証を行う方式。
エンタープライズモード
8
ファーミング攻撃に利用されると、偽の DNSサイトの情報をクライアントに教え、偽のWeb サイトへ転送される。
DHCPサーバ
9
最も主流な暗号化方式。暗号化アルゴリズムに AES を採用した方式で、RC4 +TKIP よりもはるかに安全な方式。
WPA2
10
大物を釣るための攻撃で、スピアフィッシングの手口をより巧妙にして、経営幹部やお金の管理をしている財務担当者などを標的とする。
ホエーリング
11
システムの脆弱性を悪用して、システムへ不正侵入を試みる行為や不正なプログラム。
エクスプロイト
12
正規のユーザ認証なしでアクセスが可能な入口。
攻撃者が設置する場合もあるが、製品開発のためのテスト用として開発者が自ら設置する場合もある。
バックドア
13
脆弱性が公開されてから修正プログラムがリリースされるまでの期間に行われる。
ゼロデイ攻撃
14
Web ページの脆弱性を狙って、悪意あるスクリプトを実行させる攻撃。
反射型、格納型DOM Mased 型などがある。
XSS
15
プログラムの誤作動を悪用し、リターンアドレスを使って不正なプログラムコードを実行する。
バッファオーバーフロー攻撃
16
検索ボックスやフォームなどに入力する文字列が本来の意味なのかを Web アプリケーション側で判断する。
例えば、ID に人の名前以外が入っている場合は無効とするなど。
バリデーション処理
17
入力フォームから取得した文字列内に特殊文字(>,<,“”,@,&等)が含まれる場合、別の文字に置き換えるなどの処理のこと。
サニタイジング
18
バックドアの機能を備え、遠隔地からシステムを操作するなど、攻撃活動に有効な機能を併せ持つツール。
RAT
19
本来は ID やパスワードを入力する箇所にSQL 文を入力することで誤作動を起こさせ、データベースを不正に操作する。
SQLインジェクション
20
エクスプロトイの成功後に実行されるプログラム。
ペイロード
21
DoS 攻撃の中でも TCP の特性を悪用したもので、対象のバッファ( backlog-queue)を溢れさせることで正規のユーザとコネクションが確立できないようにする攻撃。
SYNフラッド攻撃
22
IRC(Internet Relay Chat)のチャットサービスを利用し、 ボットネットにコマンドや指示を出して、不正活動を行う。 最近では Web 掲示板や Twitter などの HTTP 通信を使ってコマンドや指示の送受信が行われる例もある。
C&Cサーバ
23
サービス妨害攻撃とも呼ばれ、標的のシステムに対して大量のデータを送りつける攻撃。
DoS攻撃
24
標的のなったコンピュータをロックして起動不可能にしたり、特定のファイルを暗号化して開けないようにしたりする。
身代金を支払えば元の状態に戻すというような脅迫を行い、送金には足のつかない仮想通貨を指定することが多い。
ランサムウェア
25
プログラムのバグなどの脆弱性を悪用して、プログラムの一部を書き換えることでアプリケーションなどのデータに侵入し活動する。
ウィルス
26
TCP の分割前の位置を示すオフセット値を重複させることで処理異常を起こさせる攻撃。
Teardrop攻撃
27
一見便利そうに見えるツールとして動作し、裏ではマルウェアとして動作することで、利用者に攻撃だと気づかせないように活動する。
トロイの木馬
28
他のプログラムに寄生することなくプログラム単体で動作し、USB やネットワークを介して侵入・増殖・感染・発症を行う。
ワーム
29
セキュリティ上のリスクとなり、不正アクセスやウィルス感染の危険性のある状態。
原因はプログラムの不具合や設計上のミス、設定ミス、管理不備などが挙げられる。
脆弱性
30
脆弱性を悪用して実際に社内ネットワークや社内システムに侵入できるかを実施するテスト。
ペネトレーションテスト
31
事前に IP アドレス等の外部からでも入手可能な最小限の情報だけを提供してもらい実施するテスト。
ブラックボックステスト
32
特定のデバイスを制御するファームウェアを不正に書き換えることで、 特定のデバイスを接続しただけでマルウェアに感染したり、コンピュータを破壊したりする機能を持つ。
BadUSB
33
米国の MITRE(マイター)という非営利団体が日々公表された脆弱性に番号(識別子)を付与した情報。
CVE
34
メールアカウントやメールのやり取りなどの情報を盗んだり、他のウィルスに感染させたりすることで被害を拡大させるウィルス。
メールを悪用した他の攻撃との大きな違いは、過去のメールのやり取りから実在する人物の氏名や役職などのパーソナル情報を活用して、正規のメールへの返信を装う手口が用いられる。
Emotet
35
ソフトウェアのバグや脆弱性を修正するためのプログラム。
セキュリティパッチ
36
ブラックボックスとホワイトボックステストの中間で、一部の情報だけを提供してもらい実施するテスト。
グレーボックステスト
37
情報システムの脆弱性に対するオープンで汎用的な評価手法で、 ベンダーに依存しない共通の評価方法を提供。
CVSS
38
事前にシステムやアプリケーションの内部構造などの情報をすべて提供してもらい実施するテスト。
ホワイトボックステスト
39
すべての通信を信頼できないものとして扱い、通信内容を個別に監視・制御することでセキュリティを保障す
る方式。
ゼロトラストセキュリティ
40
状況を詳細に把握するため、更に情報収集・事実確認・分析を行い、インシデントに対して応急処置を行う。
初動対応
41
デジタル鑑識のことで法的な証拠として採用されるレベルで分析する技術。
インシデントに関する情報を端末・サーバ・ネットワーク機器などから収集し、解析・証拠化する。
デジタルフォレンジック
42
セキュリティインシデント発生時に被害を最小限にとどめることを目的とした組織内のチーム。
CSIRT
43
インシデントに関する証拠や原因調査のためのデータを保存し、根本原因の解決を行い、復旧・回復作業を行う。
インシデントレスポンス
44
インシデント発生に備えて機材リストの作成、稼働 OS のバージョン一覧、ネットワーク構成図などの作成や、インシデント発生を想定したオペレーションなどの訓練を実施する。
事前対応
45
インシデントに関するすべての事象を文書化し、経営層や関連部署に報告する。
また、同様のインシデントを発生させないために改善を行う。
事後対応
46
インシデントの緊急性や重要度を選別し、対応の判断を行う。
また、複数のインシデントが発生している場合には優先度順位をつけて対応する。
トリアージ
47
セキュリティインシデントの監視・検知・分析を専門に行うチーム。
SOC
48
通報を受け付けた CSIRT は情報共有をしたのちに、情報提供者に状況を確認する。
検知
49
脅威に狙われたときに弱点になるところ。
脆弱性
50
インシデントレスポンスやデジタルフォレンジックにより復旧作業などの対応を行う。
事後対策
51
専門知識を悪用したブラックハッカー。
クラッカー
52
攻撃的なコンピュータプログラム。
ウィルス
53
バイトテロや入力ミスなどが原因として起きる脅威。
人的脅威
54
法人や個人が所有する情報・ハードウェア、ソフトウェア、人、概念、思想など価値のあるものすべて。
情報資産
55
デバイスには WAF 等のコンピュータセキュリティ、通信インフラには IPS 等のネットワークセキュリティを利用して、攻撃から身を守る仕組みを準備する。
事前対策
56
悪意を持った利用者。
スクリプトキディ
57
ウィルスやワームなどが原因として起きる脅威。
技術的脅威
58
経年劣化や地震・台風などが原因として起きる脅威。
物理的脅威
59
TCP のコネクションの情報とセッションの情報を見て、内部からコネクションを開始した通信は例外的に許可するという機能。
ステートフルパケットインスペクション
60
通信データの中身やトラフィックパターンから異常を検出し、管理者にアラートを送る機能を持つ。
IDS
61
Web アプリケーションや Web サービスへの攻撃を保護するためのセキュリティ装置。
WAF
62
WAN と LAN の間に設置することで安全なエリアを構築する。
境界線型FW
63
無害の通信を攻撃として誤検出すること。
フォールスポジティブ
64
無害の通信を攻撃として誤検出すること。
フォールスポジティブ
65
不審な状態を検出するための通信パターンを定義したファイルを利用する方式。
シグネチャ型
66
パソコンなどのデバイスにインストールすることで、悪意あるソフトウェアによるネットワークアクセスを防止する。
パーソナルFW
67
データの送信料の統計や通信傾向を分析することで不正アクセスを検出する方式。
アノマリ型
68
本来は検出しなければいけない通信を見逃すこと。
フォールスネガティブ
69
通信データの中身やトラフィックパターンから異常を検出し、自動防御(ブロック)する。
IPS
70
情報セキュリティの3要素の1つで、システムが使いたいときにいつでも利用できる状態にすること。
可用性(Availability)
71
AAA 機能の3要素の1つで、認証が完了したユーザがシステムのどこにアクセスしたのかを収集し記録する機能。
経理(Accouting)
72
位置関係を示す特徴的な点や輪郭線等を画像認識技術により抽出し、利用する認証方式。
顔認証
73
情報セキュリティの3要素の1つで、許可された人だけがアクセスできるようにすること。
機密性 (Confidentiality)
74
AAA 機能の3要素の1つで、認証が完了したユーザに対して、アクセスできる範囲を制限する機能。
認可(Authorization)
75
一般的なユーザ ID とパスワード情報を入力後に、一時的な使い捨てのパスワードを使って認証する方式。
ワンタイムパスワード
76
皮膚が線状に隆起した隆線(りゅうせん)が多数集まったものを利用する認証方式。
指紋認証
77
AAA 機能の3要素の1つで、 正しいユーザであることを証明するために ID とパスワードなどで本人確認をする機能。
認証(Authentication)
78
情報セキュリティの3要素の1つで、情報資産(データベースなど)に改ざんや破損が無い状態にすること。
完全性(Integrity)
79
筆庄等の情報を一定時間間隔で収集することで本人確認を行う認証方式。
サイン認証
80
パスワードを固定して、複数ユーザを手当たり次第に試す攻撃。
リバートブルートフォース攻撃
81
アカウント名は固定して、パスワードに使いそうな文字列一覧から手当たり次第に入力する攻撃。
辞書攻撃
82
暗号化されていないデータ。
平文
83
データが送信前と送信後で同じものかを確認するための仕組み。
ハッシュ関数
84
過去のハッキングや情報漏洩で流出したユーザ ID とパスワードの組み合わせを試す攻撃。
パスワードリスト攻撃
85
処理速度は遅い、鍵の総個数は 2n。RSA が最も広く使われている。
公開鍵暗号方式
86
総当たり攻撃とも呼ばれ、パスワードの文字列を1文字ずつ変えながらログインを試行する攻撃。
ブルートフォース攻撃
87
処理速度が速い。鍵の総個数は n(n-1)/2。AES が最も広く使われている。
共通鍵暗号方式
88
平文のアルファベットをすべて同じ方向に同じ数だけずらして暗号化する方式(別名カエサル暗号)。
シーザー暗号
89
最初の鍵交換(共通鍵)には公開鍵暗号を利用し、実際のデータの暗号化には共通鍵を利用する方式。
ハイブリット暗号方式
90
トランスポート層で動作し、 アプリケーション層のプロトコルと組み合わせて利用することで、安全な Web アクセスを可能とする。
TLS
91
インターネットの世界での本人確認のための証明書。
電子証明書
92
暗号化通信と Web サイトの運営者の身元証明の 2 つの機能もつ証明書。
SSLサーバ証明書
93
オレオレ証明書ではないことを保証するために利用される。
EV-SSL証明書
94
公開鍵暗号方式を応用して、データ送信者のデータが改ざんされていないかを検出する仕組み。
デジタル署名
95
各拠点間を VPN の機能が実装されたルータ同士で接続する方式。
VPN 接続に必要な機能はすべてルータで行うため、クライアント PC に VPN ソフトなどをインストールする必要はない。
サイト間VPN
96
電子証明書を発行するための公的な組織で、公開鍵が確かにその人のものであるかを証明する機関。
認証局(CA)
97
独自に構築したプライベート認証局で発行された証明書。
オレオレ証明書
98
VPN の機能が実装されたルータと VPN クライアントがインストールされた端末で接続する方式。
VPN 接続する必要のある端末すべてに事前にソフトウェアをインストールしておく必要がある。
リモートアクセスVPN
99
公開鍵の正当性(本人であること)を保証し、データの改ざんも検知できるセキュリティインフラ。
PKI
100
偽の再帰的な問合せに対して、本物のコンテンツサーバが回答するよりも先に偽の回答を送り込むことで、サーバに偽の情報を覚え込ませる攻撃
DNSキャッシュポイズニング