セキュリティ関連用語集

A


ARPスプーフィング


ARP要求に不正な返答を用意し、不正なマシンなどへ誘導する

攻撃手法。


B


BEC(Business E-mail Compromise)


ビジネスメール詐欺。

幹部を装い、部下に特定の口座に入金させるなどを行う。

C


CC(コモンクライテリア)


IT製品のセキュリティ評価のための共通基準。


D


DNS Flood攻撃


名前解決できない大量のリクエストをDNSサーバに送る。


DNS増幅攻撃


DNSサーバにリクエストをなげ、その返答を攻撃相手に返す。

DNSチェンジャー


不正なDNSを参照するよう端末の設定や、ルータ等を変更する。


DoS攻撃(Denial of Service attack)


大量のデータや不正なデータを送りつけて、サービスが正常に動かないようにする。


DDoS攻撃(Distributed Denial of Service attack)


大量のコンピュータからDos攻撃をしかける。

I


IDS 不正侵入検知

外部からの不正アクセスを検出する。


IPS 不正侵入防御

IDSが検出した不正アクセスを遮断する。


IPスプーフィング

送信元のIPアドレスを偽造する


Q


QRコードフィッシング

QRコードに、にせのURLを入れ、フィッシング詐欺を行う。


R


ROT13


アルファベットの順番を13文字ずらして、暗号化する方法

L


LDAPインジェクション攻撃


SQLインジェクション同様、検索文字列にコマンドを埋め込み、

不正にデータを取得したり、データを搾取する。


O


OODAループ


・監視(Observe)

・状況判断(Orient)

・意思決定(Decide)

・行動(Action)

のサイクルを迅速に回そう、というもの


N


NTP増幅攻撃


S


Same Origin Policy


あるオリジン(ドメインなどが同一のサイト)から、読み込まれた

文書やスクリプトを、他のオリジンで利用できないよう

制限する技術。


Sボックス


換字ボックス。

データブロックを別の文字に置き換える処理を行う。

実際には計算は行わず、あらかじめ計算した表をもとに表を参照して、換字を行う。


W


WPA2


暗号化方式として、AES、鍵生成として、CCMPを利用するようWPAを改良した。


アカウントリスト攻撃


他のサイトから漏洩した等で取得したIDとパスワードをリスト化し、別のサイトで試していく。

アドウェア


好ましくない広告を勝手に表示する。

暗号の危殆化


コンピュータの性能向上や攻撃技術の進歩により、暗号の安全性が低下すること。

暗号化


暗号文を作ること。


一方向関数


処理結果から元データが復元できない関数。


インジェクション攻撃


悪意のあるプログラムを標的サイトに「注入」する。

SQLインジェクションや、スクリプトインジェクションなどがある。


ウイルス


他のプログラムやファイルに感染(書き換え)て、不正行為を行う。

自分自身のコピーを作成する。


エラーメッセージによる情報収集



エラーメッセージの内容から、使用しているソフトに関する情報を得る


加法準同型暗号



準同型暗号の中で足し算と引き算ができるもの。


擬似ランダム関数


シードと呼ばれる初期値を用いて、任意の値に対して、擬似乱数を生成する関数のこと。


キーロガー


ユーザが入力する個人情報を盗む。


クラッキング


コンピュータのセキュリティを破壊すること。


ケルホクスの原理


暗号の安全性は鍵の秘密のみに依存しなければならない、というもの。

クリック詐欺


クリックしただけで、金銭を要求する詐欺。

クリックジャッキング


Webサイトを閲覧している時、ボタンやリンクをクリックした際、

見えないボタンなどを押させることで、不正なプログラムを実行させる

クロスサイトリクエストフォージェリ(CSRF)


ログイン中のユーザに、リクエストを強制的に実行させる

その結果、ログイン中のユーザアカウントで、各種変更や、意図せぬ商品の購入などが行われる。


脅威


情報セキュリティにおいて、情報資産に好ましくない影響を及ぼす事象のこと。




合成暗号


換字と転置を組み合わせた暗号のこと




サイドチャネル攻撃



電磁波など、暗号の実装から漏洩した情報を利用する。



シフト暗号


各アルファベットをn文字分ずらすもの。シーザ暗号は、n=3 。n文字ずらすことを、ROTnと表現する。

情報資産


情報セキュリティの中で保護されるべき対象のこと。

準道警暗号


暗号文を復号することなく、暗号文のまま、足し算、引き算等の処理ができる暗号。

シーザー暗号


アルファベットのそれぞれの文字を3文字ずらす。最後の3文字は、先頭に持っていく。


スキャベンジング


ゴミ箱をあさる、ソーシャルエンジニアリングの手法。


スタック・フィンガープリント


TCP/IPのスタックに対して、問い合わせを行い、

その応答パケットの情報からOSの種類や、バージョンの情報を得る。


ステルス型ウイルス


ウイルス対策ソフトの検知を逃れる機能をもつウイルス。

ストリーム暗号


1ビットなど、少ないビット単位で処理する。

秘密鍵から生成された擬似乱数と、平分の、排他的論理和をとる。


スニファ


ネットワーク上を流れるパケットを取得して解読する。


スペアフィッシング


特定の個人や組織を標的にしたフィッシング攻撃。


スミッシング


スマートフォン等のショートメッセージ(SNS)から、悪意のあるサイトへ誘導する。

スパイウェア


ユーザが知らないうちにパソコンに入り込み、情報の送信などを行う。






生体認証


指紋や声紋など、身体的特徴で個人を識別すること。

脆弱性


リスクを顕在化させる状況のこと。

セッションハイジャック


セッションIDなどを不正に取得し、二者間の通信を乗っ取る方法。

セキュリティポリシー


一貫したセキュリティ対策を行うため

組織のセキュリティ方針を示した基準のこと。

セッションハイジャック


Webなどで、セッションが乗っ取られること。


ゼロティ攻撃(Zero day attack)


ソフトウェアの脆弱性が公表される前に、その脆弱性に対して攻撃を行う。




ソルト

パスワードをハッシュ化するために、ハッシュ化前のパスワードの前後に加える文字列。



他要素認証

複数の認証要素を組み合わせて認証する。



ディレクトリトラバーサル


公開を意図していないディレクトリへアクセスを行う攻撃。

テンペスト技術


PCなどが発する微弱な電磁波から通信を傍受する。



特権昇格


一般ユーザでアクセスした後、システムの脆弱性をついて、システム管理者の権限を得る。


ドライバ・ダウンロード攻撃


ホームページを見ただけで、ウイルスに感染させる攻撃。

悪意のあるJavaScriptを埋め込んでおいて、iframeタグで別のサイトに誘導するなど。

トロイの木馬


ファイルには、感染せず、自己増殖機能を持たない。

バックドアを仕掛けたり、パスワードを盗んだりする。

システムに侵入し、システム機能を阻害したり、外部からの侵入口を作る。


パスワードフィールドのマスク不備


パスワード入力欄のパスワードが、そのまま表示される。

パスワードリスト攻撃


入手したID、パスワードリストを用いて、別のサイトへ不正アクセスする。


パスワードリセットの不備


本人以外の他のユーザが、パスワードをリセットできてしまう。


バナーチェック


チェック対象のサーバに対して、コマンドを実行し、

その応答から稼働中のソフトウェアの種類やバージョンに関する情報を得る。


バージョンロールバック攻撃


SSLなどのバージョンを低下させ、古いバージョンの脆弱性を利用して攻撃を行う。



複号


暗号文を元の文に戻すこと。

ファイルレス攻撃


攻撃対象のシステムに、マルウエアを保存せず、メモリ上のみで活動させる。

フィンガープリント


端末に固有の情報やブラウザ固有情報を取得する。

ブラックメール


個人や企業に対して秘密を公にすると脅迫し、金銭等を要求する。

ブロック暗号


平文をある単位のブロックに分割して、ブロックごとに暗号化処理を行う。



ベイト攻撃


コンテンツなど「餌」でターゲットをひきつけ、

その結果情報を搾取する。


ボット感染への対策


ワークの一種として考えられるため、基本的なウイルス対策を行っていく。

ボットローダー


実行されるとボットなどの本体をダウンロードするマルウエア。


マンインザブラウザ攻撃(MITB)


ブラウザの通信を傍受するウイルスを感染させる。



メタモーフィック型ウイルス


ウイルスをいくつかのブロックに分割して、順番を入れ替えたり、 コメント等実行に影響しない変更を加える。



ラウンド鍵


ブロック暗号のラウンドで用いる鍵。

ラウンド鍵は、ラウンド事に異なっていなければ、ならない。



リバース・ビッシング


インターネットの地図上の電話番号を、詐欺用の番号に改ざんして、誘導する。


リスク回避


リスク対策の中で、リスクの原因を除去するもの


ルートキット


クラッキングに使われるツールの総称。

パスワードや個人情報の窃取、キーロガー、対ウイルスソフト対策などの機能を持つ。


レトロウイルス


ウイルス対策ソフトを攻撃する、あるいは、機能を停止させるコンピュータウイルス。



ワーム


ファイルに感染せず、自己増殖機能を持つ。


ワンタイムパット暗号


平分と、平分と同じ奈川の一回限りのランダムな鍵で、

排他的論理和をとることで、暗号文を作る。

0 件のコメント:

コメントを投稿

登録: コメント (Atom)

アルゴリズムの考え方

総当たりアルゴリズム すべての場合をためし、解を求める。 近似アルゴリズム  ・正解に近い解を探す ・正解との誤差がある範囲におさまると保証されているものを  精度保証付アルゴリズムという。 ・精度の保証のないアルゴリズムを、発見的手法(ヒューリスティック)    という。

  • クロニクル MacでJunit
     STS4との組み合わせです。 1. 以下のサイトから、Junitのサンプルをダウンロードしました。 https://github.com/junit-team/junit5-samples 2. ダウンロードしたものを、展開しました。 3. ダウンロードしたものの中から、  j...
  • クロニクル MacでC#
    1. NETのインストール こちらから、プラットフォームに合うインストーラーをダウンロードしました。 https://dotnet.microsoft.com/ja-jp/download 今回は、.NET8のSDKにしました。 ダウンロードしたファイルを実行して、全てデフォルト...
  • A study of MVC - A software Design Pattern for Web
    公開されている A study of MVC - A software Design Pattern for Web のキモの部分を読んで勉強してみたいと思います。 Model - View - Controllerのデザインパターンは、Javaの Web開発用フレームワークで数...