ファーミング攻撃に利用されると、正規のホスト名を入力しても別のIPアドレスに変換され偽のWebサイトへ転送される

偽のアクセスポイントを設置して利用者の通信内容を盗聴する詐欺。 フリーのアクセスポイントを装っており、利用者が気づかないままオンラインショッピングなどを行うとIDやパスワードが盗まれる。

無線LANの一般的なユーザ認識方式

ファーミング攻撃に利用されると、レコードを不正に書き換えて、偽のWebサイトへ転送される。

古くからある無線LANの暗号化方式。 RC4というアルゴリズムを利用していたが、同じ共通鍵を使い続けるという点と、致命的な脆弱性が見つかったため現在は使用されていない。

携帯電話のショートメッセージを悪用した詐欺で、不在の荷物連絡や料金未払い、クレジットカードの有効期限などの内容で偽の Web サイトへ誘導するようなメッセージが送られてくる。

EAP や RADIUS などのプロトコルと専用の認証サーバを利用して、無線 LAN のユーザ認証を行う方式。

ファーミング攻撃に利用されると、偽の DNSサイトの情報をクライアントに教え、偽のWeb サイトへ転送される。

最も主流な暗号化方式。暗号化アルゴリズムに AES を採用した方式で、RC4 +TKIP よりもはるかに安全な方式。

大物を釣るための攻撃で、スピアフィッシングの手口をより巧妙にして、経営幹部やお金の管理をしている財務担当者などを標的とする。

システムの脆弱性を悪用して、システムへ不正侵入を試みる行為や不正なプログラム。

正規のユーザ認証なしでアクセスが可能な入口。 攻撃者が設置する場合もあるが、製品開発のためのテスト用として開発者が自ら設置する場合もある。

脆弱性が公開されてから修正プログラムがリリースされるまでの期間に行われる。

Web ページの脆弱性を狙って、悪意あるスクリプトを実行させる攻撃。 反射型、格納型DOM Mased 型などがある。

プログラムの誤作動を悪用し、リターンアドレスを使って不正なプログラムコードを実行する。

検索ボックスやフォームなどに入力する文字列が本来の意味なのかを Web アプリケーション側で判断する。 例えば、ID に人の名前以外が入っている場合は無効とするなど。

入力フォームから取得した文字列内に特殊文字（>,<,“”,@,&等）が含まれる場合、別の文字に置き換えるなどの処理のこと。

バックドアの機能を備え、遠隔地からシステムを操作するなど、攻撃活動に有効な機能を併せ持つツール。

本来は ID やパスワードを入力する箇所にSQL 文を入力することで誤作動を起こさせ、データベースを不正に操作する。

エクスプロトイの成功後に実行されるプログラム。

DoS 攻撃の中でも TCP の特性を悪用したもので、対象のバッファ（ backlog-queue）を溢れさせることで正規のユーザとコネクションが確立できないようにする攻撃。

IRC(Internet Relay Chat)のチャットサービスを利用し、 ボットネットにコマンドや指示を出して、不正活動を行う。 最近では Web 掲示板や Twitter などの HTTP 通信を使ってコマンドや指示の送受信が行われる例もある。

サービス妨害攻撃とも呼ばれ、標的のシステムに対して大量のデータを送りつける攻撃。

標的のなったコンピュータをロックして起動不可能にしたり、特定のファイルを暗号化して開けないようにしたりする。 身代金を支払えば元の状態に戻すというような脅迫を行い、送金には足のつかない仮想通貨を指定することが多い。

プログラムのバグなどの脆弱性を悪用して、プログラムの一部を書き換えることでアプリケーションなどのデータに侵入し活動する。

TCP の分割前の位置を示すオフセット値を重複させることで処理異常を起こさせる攻撃。

一見便利そうに見えるツールとして動作し、裏ではマルウェアとして動作することで、利用者に攻撃だと気づかせないように活動する。

他のプログラムに寄生することなくプログラム単体で動作し、USB やネットワークを介して侵入・増殖・感染・発症を行う。

セキュリティ上のリスクとなり、不正アクセスやウィルス感染の危険性のある状態。 原因はプログラムの不具合や設計上のミス、設定ミス、管理不備などが挙げられる。

脆弱性を悪用して実際に社内ネットワークや社内システムに侵入できるかを実施するテスト。

事前に IP アドレス等の外部からでも入手可能な最小限の情報だけを提供してもらい実施するテスト。

特定のデバイスを制御するファームウェアを不正に書き換えることで、 特定のデバイスを接続しただけでマルウェアに感染したり、コンピュータを破壊したりする機能を持つ。

米国の MITRE（マイター）という非営利団体が日々公表された脆弱性に番号（識別子）を付与した情報。

メールアカウントやメールのやり取りなどの情報を盗んだり、他のウィルスに感染させたりすることで被害を拡大させるウィルス。 メールを悪用した他の攻撃との大きな違いは、過去のメールのやり取りから実在する人物の氏名や役職などのパーソナル情報を活用して、正規のメールへの返信を装う手口が用いられる。

ソフトウェアのバグや脆弱性を修正するためのプログラム。

ブラックボックスとホワイトボックステストの中間で、一部の情報だけを提供してもらい実施するテスト。

情報システムの脆弱性に対するオープンで汎用的な評価手法で、 ベンダーに依存しない共通の評価方法を提供。

事前にシステムやアプリケーションの内部構造などの情報をすべて提供してもらい実施するテスト。

すべての通信を信頼できないものとして扱い、通信内容を個別に監視・制御することでセキュリティを保障す る方式。

状況を詳細に把握するため、更に情報収集・事実確認・分析を行い、インシデントに対して応急処置を行う。

デジタル鑑識のことで法的な証拠として採用されるレベルで分析する技術。 インシデントに関する情報を端末・サーバ・ネットワーク機器などから収集し、解析・証拠化する。

セキュリティインシデント発生時に被害を最小限にとどめることを目的とした組織内のチーム。

インシデントに関する証拠や原因調査のためのデータを保存し、根本原因の解決を行い、復旧・回復作業を行う。

インシデント発生に備えて機材リストの作成、稼働 OS のバージョン一覧、ネットワーク構成図などの作成や、インシデント発生を想定したオペレーションなどの訓練を実施する。

インシデントに関するすべての事象を文書化し、経営層や関連部署に報告する。 また、同様のインシデントを発生させないために改善を行う。

インシデントの緊急性や重要度を選別し、対応の判断を行う。 また、複数のインシデントが発生している場合には優先度順位をつけて対応する。

セキュリティインシデントの監視・検知・分析を専門に行うチーム。

通報を受け付けた CSIRT は情報共有をしたのちに、情報提供者に状況を確認する。

脅威に狙われたときに弱点になるところ。

インシデントレスポンスやデジタルフォレンジックにより復旧作業などの対応を行う。

専門知識を悪用したブラックハッカー。

攻撃的なコンピュータプログラム。

バイトテロや入力ミスなどが原因として起きる脅威。

法人や個人が所有する情報・ハードウェア、ソフトウェア、人、概念、思想など価値のあるものすべて。

デバイスには WAF 等のコンピュータセキュリティ、通信インフラには IPS 等のネットワークセキュリティを利用して、攻撃から身を守る仕組みを準備する。

悪意を持った利用者。

ウィルスやワームなどが原因として起きる脅威。

経年劣化や地震・台風などが原因として起きる脅威。

TCP のコネクションの情報とセッションの情報を見て、内部からコネクションを開始した通信は例外的に許可するという機能。

通信データの中身やトラフィックパターンから異常を検出し、管理者にアラートを送る機能を持つ。

Web アプリケーションや Web サービスへの攻撃を保護するためのセキュリティ装置。

WAN と LAN の間に設置することで安全なエリアを構築する。

無害の通信を攻撃として誤検出すること。

無害の通信を攻撃として誤検出すること。

不審な状態を検出するための通信パターンを定義したファイルを利用する方式。

パソコンなどのデバイスにインストールすることで、悪意あるソフトウェアによるネットワークアクセスを防止する。

データの送信料の統計や通信傾向を分析することで不正アクセスを検出する方式。

本来は検出しなければいけない通信を見逃すこと。

通信データの中身やトラフィックパターンから異常を検出し、自動防御（ブロック）する。

情報セキュリティの３要素の１つで、システムが使いたいときにいつでも利用できる状態にすること。

AAA 機能の３要素の１つで、認証が完了したユーザがシステムのどこにアクセスしたのかを収集し記録する機能。

位置関係を示す特徴的な点や輪郭線等を画像認識技術により抽出し、利用する認証方式。

情報セキュリティの３要素の１つで、許可された人だけがアクセスできるようにすること。

AAA 機能の３要素の１つで、認証が完了したユーザに対して、アクセスできる範囲を制限する機能。

一般的なユーザ ID とパスワード情報を入力後に、一時的な使い捨てのパスワードを使って認証する方式。

皮膚が線状に隆起した隆線（りゅうせん）が多数集まったものを利用する認証方式。

AAA 機能の３要素の１つで、 正しいユーザであることを証明するために ID とパスワードなどで本人確認をする機能。

情報セキュリティの３要素の１つで、情報資産（データベースなど）に改ざんや破損が無い状態にすること。

筆庄等の情報を一定時間間隔で収集することで本人確認を行う認証方式。

パスワードを固定して、複数ユーザを手当たり次第に試す攻撃。

アカウント名は固定して、パスワードに使いそうな文字列一覧から手当たり次第に入力する攻撃。

暗号化されていないデータ。

データが送信前と送信後で同じものかを確認するための仕組み。

過去のハッキングや情報漏洩で流出したユーザ ID とパスワードの組み合わせを試す攻撃。

処理速度は遅い、鍵の総個数は 2n。RSA が最も広く使われている。

総当たり攻撃とも呼ばれ、パスワードの文字列を１文字ずつ変えながらログインを試行する攻撃。

処理速度が速い。鍵の総個数は n(n-1)/2。AES が最も広く使われている。

平文のアルファベットをすべて同じ方向に同じ数だけずらして暗号化する方式（別名カエサル暗号）。

最初の鍵交換（共通鍵）には公開鍵暗号を利用し、実際のデータの暗号化には共通鍵を利用する方式。

トランスポート層で動作し、 アプリケーション層のプロトコルと組み合わせて利用することで、安全な Web アクセスを可能とする。

インターネットの世界での本人確認のための証明書。

暗号化通信と Web サイトの運営者の身元証明の 2 つの機能もつ証明書。

オレオレ証明書ではないことを保証するために利用される。

公開鍵暗号方式を応用して、データ送信者のデータが改ざんされていないかを検出する仕組み。

各拠点間を VPN の機能が実装されたルータ同士で接続する方式。 VPN 接続に必要な機能はすべてルータで行うため、クライアント PC に VPN ソフトなどをインストールする必要はない。

電子証明書を発行するための公的な組織で、公開鍵が確かにその人のものであるかを証明する機関。

独自に構築したプライベート認証局で発行された証明書。

VPN の機能が実装されたルータと VPN クライアントがインストールされた端末で接続する方式。 VPN 接続する必要のある端末すべてに事前にソフトウェアをインストールしておく必要がある。

公開鍵の正当性（本人であること）を保証し、データの改ざんも検知できるセキュリティインフラ。

偽の再帰的な問合せに対して、本物のコンテンツサーバが回答するよりも先に偽の回答を送り込むことで、サーバに偽の情報を覚え込ませる攻撃