暗記メーカー

お問い合わせ
ログイン
サイバー攻撃

  • you sー

    • 問題数 43 • 6/20/2024

    問題一覧

  • 1

    攻撃者がマルウェアに対して指令となるコマンドを送信し、マルウェアが仕掛けられたコンピューターの動作を制御するために用いられる外部の指令サーバのこと。

    C&Cサーバ

  • 2

    ボットネットの指令者のこと。ハーダー(Herders) は英語で「牧畜民」の意味であり、支配下にあるボットを家畜に見立てて、それらを支配・統制する者という意味がある

    ボットハーダー

  • 3

    ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人を狙って行われる執拗なサイバー攻撃の総称。単なる標的型攻撃と異なる点は準備や攻撃が長い期間にわたって行われる点である。最初にメールや外部メディアなどで組織内部の従業員(組織の幹部を含む)の端末への不正侵入を試み、そこから組織の内部へさらに入り込んでいくなど目的達成のために数カ月から数年にわたって攻撃が継続する。最終的には組織にとって非常に重要な情報(知財情報や個人情報)を盗み出すことなどを目的とする。

    APT

  • 4

    あるOSやソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前にその脆弱性を悪用して行なわれる攻撃のことを指す。問題解決のための修正パッチが提供された日を一日目とした時それ以前に始まった攻撃という意味でこう呼ばれる。

    ゼロデイ攻撃

  • 5

    パスワードクラックに用いられる手法の一つで特定の文字数および文字種で設定可能なすべての組み合わせを試すことで不正ログインを試みる攻撃手法。パスワード長が短く、使用可能な文字数が少ない場合にはこの手法によって破られる可能性が高くなってしまう。例えば数字四桁のパスワード(1万種類)ならば平均して5000回の試行で突破されてしまうことになる。この攻撃を防ぐためには認証処理にロックアウト機構を設けることが効果的である。

    総当たり攻撃

  • 6

    複数のサイトで同じID/パスワードの組を使い回している利用者が多いという傾向を悪用したもので、あるサイトに対する攻撃などによって得られたIDとパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃。この攻撃に対しては利用者側でパスワードの使いまわしを止めることや管理者側で「二段階認証を行う」「ログイン履歴を表示し利用者に確認してもらう」などの対策が考えられる。

    パスワードリスト攻撃

  • 7

    URLにディレクトリ(例えば"http://example.com/test/"など)を指定して、そのディレクトリの内容を閲覧しようとする行為。ディレクトリ一覧へのアクセスがサーバーで拒否されていないと非公開ファイルなどが不正取得される恐れがある。

    ディレクトリリスティング

  • 8

    想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃。

    レインボーテーブル

  • 9

    パスワードクラックに用いられる手法の一つで、辞書に載っている英単語やパスワードとしてよく使われる文字列などを大量に登録したファイル(辞書ファイル)を用意してそれを一つずつ試していくことで、効率よくパスワード認証を突破しようとする攻撃手法。

    辞書攻撃

  • 10

    ウェブページ上のコンテンツをクリックしようとしたユーザーを視覚的に騙し、攻撃者が用意した外部サイトのWebページ上をクリックさせる行為。利用者がアクセスしたページの表面に何らかの手段で取り込んだ別ページを(クリックイベントは有効なまま)透明化して被せる手法がよく用いられる「ユーザーのクリックを奪い取る」という攻撃の特徴からこう呼ばれる

    クリックジャッキング

  • 11

    モニターやキーボードネットワークケーブルなどから放射されている微弱な電磁波を傍受し、それを解析することで元の情報の再現を試みる攻撃手法。一般に知られている実験ではブラウン管ディスプレイやケーブルから発生する電磁波を3メーター離れた時点で傍受して表示されている画像を再現した例がある。傍受を防ぐための対策としては、ブラウン管ディスプレイから液晶ディスプレイに切り替える、ケーブルなどを電磁シールドで包む、PCを使用する部屋全体をシールドしてしまう等、機器から放出される電磁波を極めて少量に抑える方法が効果的である。

    テンペスト攻撃

  • 12

    ターゲットを特定の企業組織や個人に定めて行う攻撃の総称。差出人を取引企業や官公庁や知人など信頼性のある人に偽装し、さらに受信者の興味を惹く件名や本文を使用するなどの巧妙な誘導により、ウィルスを仕込んだ添付ファイルを開かせたり、ウィルスに感染させるウェブサイトのリンクをクリックさせたりする。

    標的型攻撃

  • 13

    「クリックすると契約したことになる」という説明が事前に明示されていないのに、ウェブサイトにアクセスした際や画像・動画を見ようとした際に、画面全体に入会手続きが終了したので会員費用としてOO万円必要、という内容のメッセージを表示させ金銭などを要求するインターネット詐欺のこと。このメッセージは消してもすぐに「退会手続きをするためには未納金を支払う必要がある。」「すぐに連絡をしたら減額する」等を繰り返し表示するようになっており、他の操作をできなくさせる悪質な仕掛けになっている。メッセージ内にはあたかも個人が特定しているようなIPアドレスや使用しているOSブラウザの種類などが表示されることがあるが、基本的にサイト管理者には個人を特定するような情報は通知されない。メッセージ内に記述されているメールアドレスなどに連絡をとることは、かえって自分の個人情報を知らせることになってしまうため大きな危険を伴う

    ワンクリック詐欺

  • 14

    アクティビズムとハックを組み合わせた造語で、情報技術を高度に利用し、信教や政治的な目標を達成しようとする行為や行動思想のこと。これらの活動を行う個人や組織はハクティビストと呼ばれる。

    ハクティビズム

  • 15

    Webサイトにマルウェアを仕込んでおき、アクセスした利用者に気づかれないようにそれらのダウンロードや自動実行させる攻撃。脆弱性のある利用環境だと単に閲覧しただけでマルウェアに感染してしまう。水飲み場型攻撃、ガンプラー攻撃において、マルウェアを対象者のコンピューターに潜り込ませるために使われるなど、攻撃成立のための補助的な役割を担うこともある。

    ドライブバイダウンロード

  • 16

    DNSサーバからの名前解決要求があった場合に、正常な応答に加えて偽の名前解決情報を付加して送信することで、そのサーバのキャッシュに偽の情報を登録させる攻撃。この汚染されたDNSサーバを利用したユーザが偽のキャッシュ情報をもとに、悪意のあるサイトに誘導され、機密情報を盗まれるなどの被害が発生する可能性がある。

    DNSキャッシュポイズニング

  • 17

    携帯電話/スマートフォンやタブレット端末のSMS(short message service)とフィッシング(phishing)を合わせた造語で、SMSに対してメッセージを送り、個人情報の搾取などを図る行為。スマートフォン利用者の増加とともに、これによる不正サイトへの誘導やマルウェア感染、アドレス帳などの個人情報の流出、ワンクリック詐欺などの被害が増加している。

    スミッシング

  • 18

    銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、個人情報を不正に搾取する行為。メール本文内のハイパーリンクをクリックさせることで、本物そっくりな偽のWebサイトに誘導し、設置してあるフォームに入力した情報などから個人情報を不正に収集する。インターネットを用いた詐欺の1種。

    フィッシング

  • 19

    クライアントに対してはサーバーに、サーバーに対してはクライアントになりすます事で、通信をしている二者の間に介入し通信内容の盗聴改ざんなどを行う行為。

    中間者攻撃

  • 20

    アプリケーションアプリケーションの入力データとして、データベースへの命令文を構成するデータを与え、Webアプリケーションが想定していないSQL文を意図的に実行させる攻撃。この攻撃を受けるとデータベースの破壊や情報搾取などの被害につながる恐れがある。

    SQLインジェクション

  • 21

    自身に直接関係がないネットワーク外の第三者から別の第三者へのメールを無制限に受付中継してしまうこと。このようなメールサーバーは攻撃の踏み台に悪用される可能性がある。インターネット上には設定不備によりこれを許すメールサーバーが存在しており、迷惑メールの温床になっている。

    第三者中継

  • 22

    公開鍵暗号方式を使用してファイルや電子メールの暗号化認証改ざん検知を行うツール。米国のphilip Zimmermann氏によって開発され、RFC4880として標準化されている。公開鍵の検証にフィンガープリント(電子指紋)というハッシュ値を使用し、さらに使用者が公開鍵に信頼度を設定し合う仕組み(Web of trust:信頼の輪)で公開鍵の正当性を確保しているため、認証局を必要としないことが特長である。S/MIMEと同様に、暗号化メールを送受信するには通信を行う両者のメールソフトがこの規格に対応していなければならない。

    PGP

  • 23

    特定のサイトやサーバーに対し日時を決めてインターネット上の多数のコンピュータから同時に大量のパケットを送りつけることで、標的のネットワークを過負荷状態にする分散型サービス停止攻撃。支配下のボットネットを操り、一斉攻撃したりインターネット上のルーターやサーバーに反射させて増幅した大量の応答パケットを一箇所に送りつけたりする手口がある。

    DDoS攻撃

  • 24

    悪意のあるスクリプトが埋め込まれたウェブページに利用者を誘導し、不正なリクエストを含むリンクをクリックさせる等の方法で、ユーザー認証やセッション管理の脆弱性のある別のウェブサイトでその訪問者が意図しない操作を成立させる攻撃。例えばアカウント情報の強制的な変更、商品購入、掲示板への投稿、といった意図しない操作が知らぬまに行われてしまう可能性がある。

    クロスサイトリクエストフォージェリ

  • 25

    対象システムへのアクセスを確保した攻撃者が、その後の不正な活動を行いやすくすることを目的として、作動中のプロセスやファイルログおよびシステム設定などを偽装するために用いるソフトウェア軍のこと。また偽装行為をするだけでなくバックドアとして動作するものも多い。たとえユーザーやシステム管理者が検査を行っても、これらのソフトウェアがシステム設定の改ざんや侵入痕跡の隠蔽を行っているため検出は困難となる。

    ルートキット

  • 26

    特定の組織や人に狙いを定める標的型攻撃の一つで、標的ユーザーがよく利用するウェブサイトにドライブバイダウンロードのコードなどを仕込み、アクセスした標的ユーザーにマルウェアを感染させる攻撃。一般的には標的対象にのみ感染するマルウェアが用いられ、標的以外の第三者がアクセスしても何も起こらない為、脅威の存在やウェブサイトの改ざんなどが発覚しにくい。

    水飲み場型攻撃

  • 27

    自分でコンピューターウイルスを作成する技術がなく、インターネット上から既存のウイルスやクラックツールを入手し、それを使用して不正アクセスを試みる初心者クラッカーのこと。

    スクリプトキディ

  • 28

    動的にウェブページを生成するアプリケーションに対して、セキュリティ上の不備を突いた悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり別のサイトを介してユーザーのクッキーや個人情報を盗んだりする攻撃。

    クロスサイトスクリプティング

  • 29

    特定のメールアドレスに対して短時間に大量大容量の意味のない電子メールを送りつけることで、メールボックスの容量を超過させたり必要なメールの受信を妨害したりする行為。

    メールボム

  • 30

    攻撃者が身元を隠すためや正規に見せかけた応答パケットを攻撃対象に送りつけるために、IPヘッダに含まれる送信元IPアドレスを偽装する行為。単純にこの方法だけで不正アクセスを試みる攻撃の他、ポートスキャンやDoS攻撃などのほかの攻撃手法を成立させるために併用されることも多い。

    IPスプーフィング

  • 31

    利用者やクッキーからの入力をもとに、ファイルパスを構成するWebアプリケーションなどに対して、ファイルパスの検証不備を突くことで、非公開ファイルの不正取得を狙う攻撃。攻撃手法のほとんどに親ディレクトリへの横断(traverse)を意味する"../"という文字列が使われることからこの名称で呼ばれる。

    ディレクトリトラバーサル

  • 32

    暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、機密情報を得たり攻撃対象の暗号鍵の推定などを行う非破壊攻撃での総称。

    サイドチャネル攻撃

  • 33

    実行するOSコマンドの一部に、ユーザーからの入力を用いるWebアプリケーションに対して、システムが想定してない入力値を与えることで、任意のシェルスクリプトやファイルを実行させる攻撃。

    OSコマンドインジェクション

  • 34

    ユーザーPC内でプロキシとして動作するマルウェアによって、WebブラウザからWebサーバー間の送受信をブラウザベースで盗聴および改ざんする攻撃。インターネットバンキングへのログインを検知してセッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金する等の攻撃例がある。同じように送受信を改ざんするman-in-the-middle攻撃と異なりクライアント内で書き換えが行われるため、Webサーバー側で不正処理を拒否することが難しいという特徴がある。

    MITB攻撃

  • 35

    脆弱性のある公開キャッシュサーバーオープンリゾルバや欠陥を持つホームルーターに対して実際には存在しないいくつものサブドメインに対するDNSクエリを発行することで、権威DNSサーバへの問い合わせを意図的に大量発生させる攻撃。この攻撃を受けた権威DNSサーバは過負荷状態となり、サーバーダウンやサービス停止に陥ってしまう可能性がある。権威DNSサーバーがダウンすると管理下のドメインに対する名前解決ができなくなるため多数のウェブサイトが影響を受ける。

    DNS水責め攻撃

  • 36

    認証が完了してセッションを開始しているブラウザ(利用者)とWebサーバ間の通信から、cookieやセッションIDなどのセッション情報を盗むことで、対象セッションを通信当事者以外が乗っ取ること

    セッションハイジャック

  • 37

    ウェブサイトが生成する正規のセッションIDを含むURLに利用者をアクセスさせ、攻撃者が用意したセッションIDを使用する通信を意図的に確立させる攻撃。攻撃者はその直後に同じセッションIDでWebサイトにアクセスしログイン中のセッションを乗っ取る。

    セッションID固定化攻撃

  • 38

    攻撃者が正当な利用者のログインシーケンスをそのまま盗聴・記録し、それをサーバーに再送信することで、正規の利用者になりすましてネットワークへの不正アクセスを行う攻撃

    リプレイ攻撃

  • 39

    DoS攻撃の一つで攻撃対象に対して経済的な損失を与えることを目的とする攻撃。クラウドサービスでは利用者に応じて料金を支払う従量課金の料金体制となっているサービスが多い。攻撃者はこれを悪用し外部から不正なリクエストを大量に送りつけることで、意図的にトラフィックを増加させ、契約者に本来不必要な多額の利用料を支払わせるように仕向ける。

    EDoS攻撃

  • 40

    コンピューターやルーターのアクセス可能な通信ポートを外部から調査する行為。スキャンタイプの応答によってOSの種類、稼働しているサービスとそのバージョンなどの情報が得られるため、不正アクセスを行うための下調べや脆弱性検査などの目的で実施される。

    ポートスキャン

  • 41

    SSL/TLSの通信開始に際して、脆弱性のあるSSL/TLSのバージョンもしくは強度の弱い暗号化アルゴリズム・鍵交換アルゴリズムの使用を強制することで、それらの脆弱性を突いた通信傍受などを行う攻撃の総称。攻撃例としては使用するRSA鍵を512ビット以下(輸出グレード)に格差格下げする「FREAK」 DH鍵交換で使用する素数を512ビット以下に格下げする「logjam」脆弱性のあるSSL 3.0での通信を仕向ける「バージョンロールバック攻撃」などが知られている

    ダウングレード攻撃

  • 42

    特定のコンピューターにサイバー攻撃を行う前の事前準備として、攻撃対象を下調べする行為。コンピューターやWebページ上の脆弱性の有無を調査したり、検索エンジンや公開データベースまたはツールを用いて攻撃に役立つ情報を収集したりする。

    フットプリンティング

  • 43

    ウイルスなどを仕込んだ悪意のあるページ、またそのページへの入り口となるページにさまざまなSEO対策を施すことで、Googleなどの検索エンジンで上位に表示させようと図る行為。そのウェブサイトにはマルウェアのダウンロード不正サイトへのリダイレクトなどの攻撃が含まれており、キーワードの検索などによって訪れたユーザーが被害に遭う危険がある。

    SEOポイズニング

  • 44

    通常ではありえない数のリクエストや応答パケットをサーバーに送信することで、サーバーやネットワーク回線を過負荷状態にし、システムダウンや応答停止などの障害を意図的に引き起こす攻撃。サーバーの機能に重大な損傷を及ぼす行為は刑法234条の二「電子計算機損壊など威力業務妨害罪」に問われる

    DoS攻撃