暗記メーカー

サイバー攻撃

問題数43


No.1

暗号技術暗号技術検討会及び関連委員会(CRIPTREC)により電子政府での使用に際しての安全性及び実装性能が確認された暗号のリスト。推奨候補暗号リスト及び運用監視暗号リストで構成されている。政府機関の情報システムに使用する電子暗号および電子署名のアルゴリズムには可能な限りここにあるアルゴリズムを採用する運用ルールを定める必要があることが明記されている。暗号の安全性に関する情報を提供することを目的とする。

No.2

身代金とウェアを合わせた造語で、他人のコンピューターのデータを勝手に暗号化することで正常にアクセスできない状態にし、元に戻すための復元プログラムを買うように迫るコンピューターウイルス。たとえ金銭を支払ってもデータが元に戻る保証はなく、最悪の場合はOSのリカバリーによって回復させるしかない。データ回復のためにはセキュリティアップデートを速やかに適用して、セキュリティーホールを塞ぐ事と併せて定期的なバックアップの取得が望まれる。

No.3

公開暗号方式を用いて共通鍵を通信当事者同士で安全に共有し、その後はその共通鍵を使用して暗号化通信を行う方式。公開鍵暗号の鍵管理の容易さと、共通鍵暗号の暗号化・複合処理に要する計算の速さを組み合わせた方式で、TLSやS/MIMEで採用されている。

No.4

技術的な方法ではなく人の心理的な弱みにつけ込んでパスワードなどの秘密情報を不正に取得する方法の総称。例えばユーザーになりすまして管理者に電話しパスワードを引き出す行為、パソコンの操作画面を盗み見してパスワードを取得する行為などがこれに該当する。

No.5

攻撃者がマルウェアに対して指令となるコマンドを送信し、マルウェアが仕掛けられたコンピューターの動作を制御するために用いられる外部の指令サーバのこと。

No.6

ボットネットの指令者のこと。ハーダー(Herders) は英語で「牧畜民」の意味であり、支配下にあるボットを家畜に見立てて、それらを支配・統制する者という意味がある

No.7

ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャルエンジニアリングにより特定企業や個人を狙って行われる執拗なサイバー攻撃の総称。単なる標的型攻撃と異なる点は準備や攻撃が長い期間にわたって行われる点である。最初にメールや外部メディアなどで組織内部の従業員(組織の幹部を含む)の端末への不正侵入を試み、そこから組織の内部へさらに入り込んでいくなど目的達成のために数カ月から数年にわたって攻撃が継続する。最終的には組織にとって非常に重要な情報(知財情報や個人情報)を盗み出すことなどを目的とする。

No.8

情報セキュリティマネジメントの付加的な要素で、情報システムによる処理に欠陥や不具合がなく、期待した処理が確実に行われている特性のこと。システムのバグを回収したり、故障しにくい部品を使って正常動作の維持を図ったりすることで確保される。 JIS Q 270000 では「意図する行動と結果が一貫しているという特性」と定義されている。

No.9

あるOSやソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前にその脆弱性を悪用して行なわれる攻撃のことを指す。問題解決のための修正パッチが提供された日を一日目とした時それ以前に始まった攻撃という意味でこう呼ばれる。

No.10

パスワードクラックに用いられる手法の一つで特定の文字数および文字種で設定可能なすべての組み合わせを試すことで不正ログインを試みる攻撃手法。パスワード長が短く、使用可能な文字数が少ない場合にはこの手法によって破られる可能性が高くなってしまう。例えば数字四桁のパスワード(1万種類)ならば平均して5000回の試行で突破されてしまうことになる。この攻撃を防ぐためには認証処理にロックアウト機構を設けることが効果的である。

No.11

複数のサイトで同じID/パスワードの組を使い回している利用者が多いという傾向を悪用したもので、あるサイトに対する攻撃などによって得られたIDとパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃。この攻撃に対しては利用者側でパスワードの使いまわしを止めることや管理者側で「二段階認証を行う」「ログイン履歴を表示し利用者に確認してもらう」などの対策が考えられる。

No.12

URLにディレクトリ(例えば"http://example.com/test/"など)を指定して、そのディレクトリの内容を閲覧しようとする行為。ディレクトリ一覧へのアクセスがサーバーで拒否されていないと非公開ファイルなどが不正取得される恐れがある。

No.13

個人を識別し認証するための番号のこと。クレジットカードと暗証番号、携帯電話とパスコード、無線LANアクセスポイントとパスワードなどのように機器や媒体の不正利用を防止するために設定される事が多い。

No.14

自身の複製をネットワークや電子メールに送り込み、ほかのコンピューターへの拡散動作を繰り返す性質を持つマルウェアのこと。感染したコンピューターへの悪影響はもとより、感染拡大によりネットワーク負荷やCPU負荷の増大といった二次被害をもたらす。それ自身が独立したプログラムであるため、別のシステムに感染しようとする時に宿しとなるファイルを必要としない。USBメモリなどを介して感染するタイプ、携帯電話のOSに感染するタイプが出現しており対策の重要性が高まっている。

No.15

想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃。

No.16

システムやソフトウェアにおいてプログラムの不具合や設計上のミスが原因となって生じた情報セキュリティ上の弱点のこと。これが残された状態でコンピューターを利用していると悪意のあるユーザーにデータを盗まれたりコンピューターを不正に操作されてしまう可能性がある。これが発見された場合は対策のための修正プログラムが無償で配布されるため、日頃よりセキュリティアップデートを確実に実施し攻撃を受けるリスクを下げることが重要である。

No.17

パスワードクラックに用いられる手法の一つで、辞書に載っている英単語やパスワードとしてよく使われる文字列などを大量に登録したファイル(辞書ファイル)を用意してそれを一つずつ試していくことで、効率よくパスワード認証を突破しようとする攻撃手法。

No.18

ウェブページ上のコンテンツをクリックしようとしたユーザーを視覚的に騙し、攻撃者が用意した外部サイトのWebページ上をクリックさせる行為。利用者がアクセスしたページの表面に何らかの手段で取り込んだ別ページを(クリックイベントは有効なまま)透明化して被せる手法がよく用いられる「ユーザーのクリックを奪い取る」という攻撃の特徴からこう呼ばれる

No.19

モニターやキーボードネットワークケーブルなどから放射されている微弱な電磁波を傍受し、それを解析することで元の情報の再現を試みる攻撃手法。一般に知られている実験ではブラウン管ディスプレイやケーブルから発生する電磁波を3メーター離れた時点で傍受して表示されている画像を再現した例がある。傍受を防ぐための対策としては、ブラウン管ディスプレイから液晶ディスプレイに切り替える、ケーブルなどを電磁シールドで包む、PCを使用する部屋全体をシールドしてしまう等、機器から放出される電磁波を極めて少量に抑える方法が効果的である。

No.20

見かけ上は正常動作をしているようになりすましておいて秘密裏に悪意のある動作を行うように仕組まれたマルウェアのこと。外観上は正常なソフトウェアとして振る舞うため、利用者がマルウェアだと気づかずに使い続けているケースもある。感染するとOSの設定変更、パスワードの不正取得、遠隔操作の踏み台にされるなどの様々な被害が発生する恐れがある。実行形式のプログラム(.exeや.com) を被害者が実行することで動作を開始することが多い。

No.21

無線LANの電波を検知できるモバイル機器を持って車などで町中を移動し、電波を受信できる無線LANアクセスポイントを見つけ出し収集する行為。この行為自体は法的に問題ないが、悪意のある者が無線アクセスポイントのリストから脆弱性のあるアクセスポイントを探し、それを元に不正アクセスを行う危険性が指摘されている。

No.22

PC利用者の背後からでキーボード入力やディスプレイを見ることで情報を盗み出す行為。斜めから画面を見えなくするプライバシーフィルターをディスプレイに取り付けることで予防する。

No.23

ネットワークに流れるパケットを盗聴し情報を不正に入手する行為。ネットワーク機器などにパケット監視用の端末やソフトウェアを不正に接続設置されてしまうと、暗号化の行われていない情報(IDやパスワードメールの内容など)が盗まれる恐れがある。

No.24

有効期限内であるにもかかわらず、秘密鍵の漏洩、紛失、証明書の被発行者の規則違反などの理由で認証の役に立たなくなったため、失効したまたは停止状態である(信用性のない)公開鍵証明書が列挙されたリストのこと。ここには公開鍵証明書のシリアル番号と、その証明書が失効した日時が登録されている。また認証局(CA)によって短い間隔(通常は24時間以内)で随時更新されている。

No.25

ターゲットを特定の企業組織や個人に定めて行う攻撃の総称。差出人を取引企業や官公庁や知人など信頼性のある人に偽装し、さらに受信者の興味を惹く件名や本文を使用するなどの巧妙な誘導により、ウィルスを仕込んだ添付ファイルを開かせたり、ウィルスに感染させるウェブサイトのリンクをクリックさせたりする。

No.26

「クリックすると契約したことになる」という説明が事前に明示されていないのに、ウェブサイトにアクセスした際や画像・動画を見ようとした際に、画面全体に入会手続きが終了したので会員費用としてOO万円必要、という内容のメッセージを表示させ金銭などを要求するインターネット詐欺のこと。このメッセージは消してもすぐに「退会手続きをするためには未納金を支払う必要がある。」「すぐに連絡をしたら減額する」等を繰り返し表示するようになっており、他の操作をできなくさせる悪質な仕掛けになっている。メッセージ内にはあたかも個人が特定しているようなIPアドレスや使用しているOSブラウザの種類などが表示されることがあるが、基本的にサイト管理者には個人を特定するような情報は通知されない。メッセージ内に記述されているメールアドレスなどに連絡をとることは、かえって自分の個人情報を知らせることになってしまうため大きな危険を伴う

No.27

アクティビズムとハックを組み合わせた造語で、情報技術を高度に利用し、信教や政治的な目標を達成しようとする行為や行動思想のこと。これらの活動を行う個人や組織はハクティビストと呼ばれる。

No.28

人間の身体的な特徴や行動の特性など個人に固有の情報を用いて本人の認証を行う方式。事前に本人の生態特徴情報を認証システムに登録しておき、認証時にセンサーで読み取った情報と比較することで本人確認を行う仕組みになっている。身体的特徴を鍵として用いるものに「指紋認証」「静脈パターン認証」「虹彩認証」「声紋認証」「顔認証」「網膜認証」などがあり行動的特徴を鍵として用いるものには筆跡認証などがある。

No.29

情報セキュリティマネジメントの概念の一要素で、許可された正規のユーザーだけが情報にアクセスできる特性を示す。アクセス権を持たない者からのアクセスを遮断し、情報改ざん、不正情報の混入や漏えいを防止することで高まる。JIS Q 27000 では「認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また、開示しない特性」と定義されている

No.30

OECD(経済協力開発機構)によって示された世界共通の個人情報保護の基本原則を定めた指針。日本における個人情報保護法をはじめ、各国の個人情報保護の法令はこのガイドラインに基づいて制定されている。

No.31

Webサイトにマルウェアを仕込んでおき、アクセスした利用者に気づかれないようにそれらのダウンロードや自動実行させる攻撃。脆弱性のある利用環境だと単に閲覧しただけでマルウェアに感染してしまう。水飲み場型攻撃、ガンプラー攻撃において、マルウェアを対象者のコンピューターに潜り込ませるために使われるなど、攻撃成立のための補助的な役割を担うこともある。

No.32

DNSサーバからの名前解決要求があった場合に、正常な応答に加えて偽の名前解決情報を付加して送信することで、そのサーバのキャッシュに偽の情報を登録させる攻撃。この汚染されたDNSサーバを利用したユーザが偽のキャッシュ情報をもとに、悪意のあるサイトに誘導され、機密情報を盗まれるなどの被害が発生する可能性がある。

No.33

通信内容の改ざんの有無を検証し、完全性を保証するために通信データから生成される固定長のビット列のこと。生成には共通鍵暗号方式やハッシュ関数が用いられる。

No.34

公開鍵暗号方式の技術を使ってデジタル文書の正当性を保証する仕組みで、送信するデータにこれを付けると受信側にて発信元が正当であるか、と改ざんの有無の二点が確認できる。また改ざんの検知はできるが改ざん部位の特定及び訂正機能は持たない。

No.35

コンピューターセキュリティ用語として一度不正侵入に成功したコンピューターやネットワークに容易に再進入できるように設けられた進入口のことを指す。外部からの問い合わせに呼応するプログラムを常駐させたり、OSの設定ファイルを書き換えたりする等の方法で設置される。

No.36

携帯電話/スマートフォンやタブレット端末のSMS(short message service)とフィッシング(phishing)を合わせた造語で、SMSに対してメッセージを送り、個人情報の搾取などを図る行為。スマートフォン利用者の増加とともに、これによる不正サイトへの誘導やマルウェア感染、アドレス帳などの個人情報の流出、ワンクリック詐欺などの被害が増加している。

No.37

一度しか使用できない使い捨てのパスワードのこと。通信経路上でパスワードが盗聴されても、正しいパスワードは認証の度に発行され、同じパスワードは二度と使えないため、固定パスワード方式と比較してセキュリティ強度が高い。

No.38

銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、個人情報を不正に搾取する行為。メール本文内のハイパーリンクをクリックさせることで、本物そっくりな偽のWebサイトに誘導し、設置してあるフォームに入力した情報などから個人情報を不正に収集する。インターネットを用いた詐欺の1種。

No.39

暗号化と復号に異なる鍵を使用する暗号方式。代表的なアルゴリズムにRSAやエルガマル暗号、defifie-Hellmanアルゴリズムがある。暗号化鍵は誰もが使用できるように公開しておき(公開鍵)、複合化には受信者が厳重に管理する(秘密鍵)。暗号化鍵と復号鍵は一対のペアとして生成され、一つの暗号化鍵で暗号化されたデータは、その鍵のペアである複合鍵でしか元のデータに戻せないため、複合を行えるのは正当な受信者のみであることが数学的に保証されている。

No.40

情報セキュリティマネジメントの概念の一要素で、障害が発生しても安定したサービスを提供でき、ユーザーが必要な時にシステムを利用可能である特性を示す。ハードウェアやソフトウェアの故障を防ぐ施策の実施や、修理時間の短縮危機の助長化を行うことで高まる。JIS Q 27000では「認可されたエンティティが要求した時にアクセスおよび使用が可能である特性」と定義されている

No.41

クライアントに対してはサーバーに、サーバーに対してはクライアントになりすます事で、通信をしている二者の間に介入し通信内容の盗聴改ざんなどを行う行為。

No.42

サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示するべき「重要10項目」をまとめた指針経済産業省とIPAによって策定された。

No.43

利用者や管理者の意図に反してインストールされ、コンピューター上の個人情報やアクセス履歴およびキーストロークなどの情報を秘密裏に収集し、勝手に外部の組織や個人に送信する不正プログラム。ユーザーに気づかれずに情報を収集することが目的である為、ウィルスの特徴であるシステムの改ざんやファイルの破壊など目立つ活動を行わないことが多く、感染していることをユーザーが気づきにくいようになっている。

No.44

組織や情報システムおよび物理環境に内在し、リスクを発生しやすくしたり、リスク拡大の要因となったりする欠点や弱点のこと。このうちシステムやソフトウェア内に存在するものはセキュリティーホールともいう。JIS Q 27000では「一つ以上の脅威によって付け込まれる可能性のある、資産または管理策の弱点」と定義されている

No.45

任意の長さのデータを入力すると固定長のビット列(ハッシュ値、メッセージダイジェスト)を返す関数で次のような特徴を持っている。①入力データが同じであれば常に同じメッセージダイジェストが生成される。②入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。③メッセージダイジェストから元の入力データを再現することが困難である。④異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。 このような特徴を応用して通信経路における改ざんの検査やユーザー認証デジタル署名などの場面で利用されている。主な方式としてMD5、SHA1、SHA256などがある。

No.46

情報情報システムに悪い影響を与え、損失を発生させる直接の原因のこと。自然災害、システム障害、人為的過失および不正行為に大別される。JIS Q 27000ではシステムまたは組織に損害を与える可能性がある望ましくないインシデントの潜在的な原因と定義されている。

No.47

ユーザー認証を一度受けるだけで許可された複数のサーバーやアプリケーションへのアクセスについても認証する仕組み。実装方式にはcookieを使うエージェント型やリバースプロキシ型、インターネット上でIDやパスワードなどを交換するためのXML仕様であるSAMLを使用するものなどがある。

No.48

アプリケーションアプリケーションの入力データとして、データベースへの命令文を構成するデータを与え、Webアプリケーションが想定していないSQL文を意図的に実行させる攻撃。この攻撃を受けるとデータベースの破壊や情報搾取などの被害につながる恐れがある。

No.49

自身に直接関係がないネットワーク外の第三者から別の第三者へのメールを無制限に受付中継してしまうこと。このようなメールサーバーは攻撃の踏み台に悪用される可能性がある。インターネット上には設定不備によりこれを許すメールサーバーが存在しており、迷惑メールの温床になっている。

No.50

公開鍵暗号方式を使用してファイルや電子メールの暗号化認証改ざん検知を行うツール。米国のphilip Zimmermann氏によって開発され、RFC4880として標準化されている。公開鍵の検証にフィンガープリント(電子指紋)というハッシュ値を使用し、さらに使用者が公開鍵に信頼度を設定し合う仕組み(Web of trust:信頼の輪)で公開鍵の正当性を確保しているため、認証局を必要としないことが特長である。S/MIMEと同様に、暗号化メールを送受信するには通信を行う両者のメールソフトがこの規格に対応していなければならない。

No.51

公開鍵暗号方式を用いたデータ通信において利用者の公開鍵の正当性を保証するためのデジタル署名を発行する機関のこと。PKI公開基盤において次のような役割を担っている。①申請者の公開鍵にデジタル署名を付したデジタル証明書を発行する②CRL(証明書失効リスト)を発行する。③CPS(認証局運用規定)を公開する。④デジタル証明書を検証するための認証局の公開鍵を公開する。⑤認証局の秘密鍵を厳重に管理する

No.52

不正行動は「動機」「機会」「正当化」の三要素が全て揃った場合に発生するという理論で、米国の組織犯罪研究者であるドナルド・R・クレッシーが提唱した。

No.53

情報セキュリティマネジメントの付加的な要素で、操作が行われた事実や発生した事象証明でき、後になって否認されないようにする能力のこと。ログの取得で必要な項目を確実に記録するとともに、完全性が損なわないように保存することで確保できる。活用される技術にデジタル署名やタイムスタンプがある。JIS Q 27000では「主張された事象または処理の発生、及びそれを引き起こしたエンティティを証明する能力」と定義されている。

No.54

特定のサイトやサーバーに対し日時を決めてインターネット上の多数のコンピュータから同時に大量のパケットを送りつけることで、標的のネットワークを過負荷状態にする分散型サービス停止攻撃。支配下のボットネットを操り、一斉攻撃したりインターネット上のルーターやサーバーに反射させて増幅した大量の応答パケットを一箇所に送りつけたりする手口がある。

No.55

ワープロソフトや表計算ソフトに組み込まれているプログラム作成機能(マクロ)を悪用したウイルスのこと。これに感染するとまずワープロソフトや表計算ソフトなどで作成したデータファイルが秘密裏に書き換えられる。そしてユーザーが改ざんされたファイルを開くと攻撃命令が自動起動してコンピューターに被害を及ぼす。

No.56

生体認証において他人であるにも関わらず本人であると誤認してしまう確率のこと。

No.57

コンピューターネットワークにつながれたシステムに不正に侵入したり、コンピューターシステムを破壊改ざんしたりするなど、コンピューターを不正に利用すること。悪用目的でソフトウェアを改変する行為もこれに該当する。正常な状態のシステムに攻撃を行ない完全性を損なわせる行為というイメージからこのように呼ばれている。

No.58

ネットワーク社会の発達に伴い、安全で信頼性の高い電子商取引の環境を整備する観点から、OECD経済協力開発機構によって示されたセキュリティの基本原則を定めた指針。9つの原則からなっている

No.59

ICカードとパスワード、指紋とパスワード、などのように利用者が知っている、持っている、有している情報のうち、複数の要素を使用して認証を行う方式。数段階で認証を行うのでセキュリティを高めることができるが、認証システムの導入コストがかかることや、認証のプロセスが煩雑になるデメリットもある。

No.60

対象とする電子文書に対して、信頼できる第三者機関である時刻認証局(TSA:time stamp authority)が発行する時刻情報を含んだ電子データ。これは付与時点での存在性およびその時刻以降の完全性を証明することを目的としている。タイムビジネス推進協議会ガイドラインではこれを以下のように定義している。「特定の電子情報と時刻情報を結合することにより、その時刻以前にその電子データが存在していたことの証明(存在証明)とその時刻までの間にその電子情報が変更・改ざんされていないことの証明(非改ざん証明)することができる手段、およびその証拠に結びつく情報」

No.61

悪意のあるスクリプトが埋め込まれたウェブページに利用者を誘導し、不正なリクエストを含むリンクをクリックさせる等の方法で、ユーザー認証やセッション管理の脆弱性のある別のウェブサイトでその訪問者が意図しない操作を成立させる攻撃。例えばアカウント情報の強制的な変更、商品購入、掲示板への投稿、といった意図しない操作が知らぬまに行われてしまう可能性がある。

No.62

対象システムへのアクセスを確保した攻撃者が、その後の不正な活動を行いやすくすることを目的として、作動中のプロセスやファイルログおよびシステム設定などを偽装するために用いるソフトウェア軍のこと。また偽装行為をするだけでなくバックドアとして動作するものも多い。たとえユーザーやシステム管理者が検査を行っても、これらのソフトウェアがシステム設定の改ざんや侵入痕跡の隠蔽を行っているため検出は困難となる。

No.63

技術の進歩によってコンピューターの計算性能が高まり解読に要する計算を実現的な時間で行うことができる可能性が生じることで、セキュリティ技術の安全性が低下してしまう状況のこと。素因数分解問題を応用したRSAや離散対数問題を応用したエルマル暗号など、解読に膨大な量の計算が必要になることを安全性の根拠にしている暗号アルゴリズムは多い。現在データの機密性は暗号化によって担保されている場合が多いが、計算能力の向上により複合が容易にできるようになると強度の弱い暗号方式ではセキュリティを保てなくなってしまう。

No.64

秘密鍵暗号方式とも呼ばれ、暗号化と復号に同一の鍵を用いる方式。代表的なアルゴリズムにDESやAESがある。暗号化通信を行うには当時通信当事者同士が事前に鍵を共有しておく必要がある。

No.65

特定の組織や人に狙いを定める標的型攻撃の一つで、標的ユーザーがよく利用するウェブサイトにドライブバイダウンロードのコードなどを仕込み、アクセスした標的ユーザーにマルウェアを感染させる攻撃。一般的には標的対象にのみ感染するマルウェアが用いられ、標的以外の第三者がアクセスしても何も起こらない為、脅威の存在やウェブサイトの改ざんなどが発覚しにくい。

No.66

マルウェアなどの感染でボット化し、攻撃者の支配下に置かれた状態にあるコンピューター軍のこと。攻撃者は指令サーバーを使ってこれをコントロールし、遠隔操作でこのコンピューターを操って攻撃を実行させる。

No.67

アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式。アメリカの旧国家暗号規格であったDES:data encryption standardの鍵長が56ビットであったのに対して、最大256ビットの鍵長を利用することが可能で、強度が高い。日本でも「電子政府推奨暗号リスト」に掲載される他、無線LANの暗号化規格WPA2の暗号化方式としても採用されている。

No.68

桁数が大きい合成数の素因数分解が困難であることを安全性の根拠とした公開鍵暗号の一つ。数字の桁数がそのまま安全強度につながるため、実際の鍵生成計算では合成数の元となる2つの素数に150~300桁の数を使用する

No.69

通信経路上に固定パスワードを流さずに認証を行うワンタイムパスワード認証方式の1種。まずサーバーがクライアントにその都度異なる予測困難な値(チャレンジ)を送る。これを受け取ったクライアントは自身が保持するパスワードとチャレンジを組み合わせて演算した結果をサーバーに送り返す。サーバーは受け取ったレスポンスを検証し認証の可否を判断する。盗聴による秘密情報漏洩やリプレイ攻撃を防ぐことができる。

No.70

公開鍵暗号方式において、公開鍵が真の所有者のものであることを証明するデジタル証明書を発行し、公開鍵と所有者の対応関係を保証するための一連の仕組み。登録局(RA) 認証局(CA) 発行局 (IA) 検証局(VA) などの役割で構成される。

No.71

生体認証において本人であるにも関わらず本人でないと判断されてしまう確率のこと。

No.72

ウェブシステムなどで必要なパスワードを忘れてしまったときに初期化および再設定が可能な機能のこと。あらかじめ登録されているメールアドレスに再設定用パスワードを送る、一時的な再設定用ページのURLを告知する、などの方法があるが実装に脆弱性がある場合は攻撃者により不正にパスワードを変更されアカウント乗っ取られてしまう危険性もある。

No.73

自分でコンピューターウイルスを作成する技術がなく、インターネット上から既存のウイルスやクラックツールを入手し、それを使用して不正アクセスを試みる初心者クラッカーのこと。

No.74

動的にウェブページを生成するアプリケーションに対して、セキュリティ上の不備を突いた悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり別のサイトを介してユーザーのクッキーや個人情報を盗んだりする攻撃。

No.75

特定のメールアドレスに対して短時間に大量大容量の意味のない電子メールを送りつけることで、メールボックスの容量を超過させたり必要なメールの受信を妨害したりする行為。

No.76

メールメールを盗聴や改ざんなどから守るために米国RSA Data Sequrity社によって開発された技術で、公開鍵暗号技術を使用して「認証」「改ざん検出」「暗号化」などの機能をメールソフトに提供する仕組み。ただしこれを使用するにあたって送受信する当事者同士のメールソフトがこの企画に対応していることと、公開鍵の持ち主側が組織内CA(認証局)やパブリックCAなどから鍵と証明書を入手しておく必要がある。

No.77

情報セキュリティマネジメントの付加的な要素で、情報資産に行われたある操作についてユーザーと動作を一意に特定でき、過去にさかのぼって追跡できる特性のこと。入退室や情報システムの動作状況、情報資産への操作などの必要な履歴をログとして記録し、後から識別可能にすることで確保される。

No.78

インターネットに接続されている不特定多数のコンピューター間でファイルをやり取りできるソフトウェア。winnyやShareどが代表例である。これによる著作権侵害やコンピューターウイルス感染、企業・組織からの情報漏洩事故が大きな問題となっている。P2P(peer to peer)と呼ばれる通信技術が使用されている

No.79

認証の際に歪めたり一部を隠したりした画像から文字を判読させ入力させることで人間以外による自動入力を排除する仕組み。主に投稿時の認証目的で利用されている。人間は多少の歪んだ文字列であれば認識できるがプログラム処理でこれを読み取ることは非常に困難である。これを利用して自動プログラムで無差別に投稿するスパム行為や、サーバーに負荷がかかる短時間の連続リクエストの送信を抑制する目的で設置される。

No.80

PCへのキーボードやマウス入力を逐一監視し,、それを記録するソフトウェアまたはハードウェアのこと。悪意を持ってPCにインストールされた場合には利用者の入力情報を秘密裏に盗み、外部に送信することも可能であり、セキュリティ上の問題となっている。キー入力データを解析されることでIDパスワードクレジットカードの番号などを不正取得される恐れがある。

No.81

攻撃者が身元を隠すためや正規に見せかけた応答パケットを攻撃対象に送りつけるために、IPヘッダに含まれる送信元IPアドレスを偽装する行為。単純にこの方法だけで不正アクセスを試みる攻撃の他、ポートスキャンやDoS攻撃などのほかの攻撃手法を成立させるために併用されることも多い。

No.82

個人や企業が暗号化通信に使用する公開鍵に対する電子式の証明書で、認証局(CA)と呼ばれる第三者機関によって発行されたもの。その信頼性を保証するために認証局のデジタル署名が付与されており、使用者は認証局のデジタル署名を検証することで通信相手の公開鍵の正当性を確認できるようになっている。この標準仕様はITU-T勧告のX.509で規定されている。

No.83

情報セキュリティマネジメントの概念の一要素で、情報が完全で改ざん・破壊されていない特性を示す。情報システムではデータや情報の正確性、正当性、網羅性、一貫性を維持することが重要となる。JIS Q 27000では「正確さおよび完全さの特性」と定義されている

No.84

利用者やクッキーからの入力をもとに、ファイルパスを構成するWebアプリケーションなどに対して、ファイルパスの検証不備を突くことで、非公開ファイルの不正取得を狙う攻撃。攻撃手法のほとんどに親ディレクトリへの横断(traverse)を意味する"../"という文字列が使われることからこの名称で呼ばれる。

No.85

TCP/IP通信における通信経路の匿名化を実現する仕組みのこと。インターネット上の公開プロキシサーバーを多段経由させ、ノード毎に暗号化を積み重ねることによって匿名性を高めている。元来は安全にインターネット通信を行う仕組みとして米海軍調査研究所によって考案されたが、2012年のパソコン遠隔操作事件など犯罪行為に悪用されることも多く問題になっている。

No.86

暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、機密情報を得たり攻撃対象の暗号鍵の推定などを行う非破壊攻撃での総称。

No.87

実行するOSコマンドの一部に、ユーザーからの入力を用いるWebアプリケーションに対して、システムが想定してない入力値を与えることで、任意のシェルスクリプトやファイルを実行させる攻撃。

No.88

ユーザーPC内でプロキシとして動作するマルウェアによって、WebブラウザからWebサーバー間の送受信をブラウザベースで盗聴および改ざんする攻撃。インターネットバンキングへのログインを検知してセッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金する等の攻撃例がある。同じように送受信を改ざんするman-in-the-middle攻撃と異なりクライアント内で書き換えが行われるため、Webサーバー側で不正処理を拒否することが難しいという特徴がある。

No.89

脆弱性のある公開キャッシュサーバーオープンリゾルバや欠陥を持つホームルーターに対して実際には存在しないいくつものサブドメインに対するDNSクエリを発行することで、権威DNSサーバへの問い合わせを意図的に大量発生させる攻撃。この攻撃を受けた権威DNSサーバは過負荷状態となり、サーバーダウンやサービス停止に陥ってしまう可能性がある。権威DNSサーバーがダウンすると管理下のドメインに対する名前解決ができなくなるため多数のウェブサイトが影響を受ける。

No.90

認証が完了してセッションを開始しているブラウザ(利用者)とWebサーバ間の通信から、cookieやセッションIDなどのセッション情報を盗むことで、対象セッションを通信当事者以外が乗っ取ること

No.91

ウェブサイトが生成する正規のセッションIDを含むURLに利用者をアクセスさせ、攻撃者が用意したセッションIDを使用する通信を意図的に確立させる攻撃。攻撃者はその直後に同じセッションIDでWebサイトにアクセスしログイン中のセッションを乗っ取る。

No.92

攻撃者が正当な利用者のログインシーケンスをそのまま盗聴・記録し、それをサーバーに再送信することで、正規の利用者になりすましてネットワークへの不正アクセスを行う攻撃

No.93

DoS攻撃の一つで攻撃対象に対して経済的な損失を与えることを目的とする攻撃。クラウドサービスでは利用者に応じて料金を支払う従量課金の料金体制となっているサービスが多い。攻撃者はこれを悪用し外部から不正なリクエストを大量に送りつけることで、意図的にトラフィックを増加させ、契約者に本来不必要な多額の利用料を支払わせるように仕向ける。

No.94

コンピューターやルーターのアクセス可能な通信ポートを外部から調査する行為。スキャンタイプの応答によってOSの種類、稼働しているサービスとそのバージョンなどの情報が得られるため、不正アクセスを行うための下調べや脆弱性検査などの目的で実施される。

No.95

SSL/TLSの通信開始に際して、脆弱性のあるSSL/TLSのバージョンもしくは強度の弱い暗号化アルゴリズム・鍵交換アルゴリズムの使用を強制することで、それらの脆弱性を突いた通信傍受などを行う攻撃の総称。攻撃例としては使用するRSA鍵を512ビット以下(輸出グレード)に格差格下げする「FREAK」 DH鍵交換で使用する素数を512ビット以下に格下げする「logjam」脆弱性のあるSSL 3.0での通信を仕向ける「バージョンロールバック攻撃」などが知られている

No.96

特定のコンピューターにサイバー攻撃を行う前の事前準備として、攻撃対象を下調べする行為。コンピューターやWebページ上の脆弱性の有無を調査したり、検索エンジンや公開データベースまたはツールを用いて攻撃に役立つ情報を収集したりする。

No.97

ウイルスなどを仕込んだ悪意のあるページ、またそのページへの入り口となるページにさまざまなSEO対策を施すことで、Googleなどの検索エンジンで上位に表示させようと図る行為。そのウェブサイトにはマルウェアのダウンロード不正サイトへのリダイレクトなどの攻撃が含まれており、キーワードの検索などによって訪れたユーザーが被害に遭う危険がある。

No.98

通常ではありえない数のリクエストや応答パケットをサーバーに送信することで、サーバーやネットワーク回線を過負荷状態にし、システムダウンや応答停止などの障害を意図的に引き起こす攻撃。サーバーの機能に重大な損傷を及ぼす行為は刑法234条の二「電子計算機損壊など威力業務妨害罪」に問われる

About

よくある質問

お問い合わせ

運営会社

Copyright @2021 ke-ta