用語
CAPTCHA(キャプチャ)
チャレンジレスポンス型のテストの一種で、認証の際に異なる歪んだ文字列や数字を表示し、書かれている文字を入力させる仕組み
プログラム処理でこれを読み取ることは非常に困難であるため、利用することで、自動プログラムで無差別に投稿するスパム行為や、サーバに負荷がかかる短時間での連続リクエストの送信を抑制することができる
共通鍵暗号方式
デメリット
- 安全に鍵を配送するの手間がかかる
- 通信相手が増えると必要な鍵数が多くなる
公開鍵暗号方式
デメリット
- 暗号化・複合に要する計算量が多いため処理に時間がかかる
共通鍵暗号方式と公開鍵暗号方式の違い
| 共通鍵暗号方式 | 公開鍵暗号方式 | |
| 暗号化と複合の鍵 | 同じ | 異なる |
| 鍵の配送 | 手間がかかる | 必要なし |
| 処理速度(計算量) | 速い(少ない) | 遅い(多い) |
| 秘密に管理する鍵 | 両方 | 秘密鍵のみ |
| 代表的なアルゴリズム | AES,DES,RC4 | RSA,楕円曲線暗号,エルガマル暗号 |
| n人相互の暗号化通信で必要な鍵数 | n(n-1)/2 | 2n |
ハイブリット暗号方式
公開鍵暗号方式を用いて共通鍵を通信相手へ安全に配送し、以後はその共通鍵を使用して暗号化通信を行う方式。TLSやS/MIMEで採用されている。
マルチウェア
ワーム(Worm)
事故の複製をネットワークや電子メール、またはUSBメモリなどの外部メディアに送り込み、他のコンピュータへの拡散動作を繰り返す性質を持つマルチウェア
感染したコンピュータへの悪影響はもとより、感染拡大によりネットワーク負荷やCPU負荷の増大といった二次被害をもたらす。
自身が独立したプログラムであるため、別のシステムに感染しようとする時に宿主となるファイルを必要としない
トロイの木馬
見かけ上は正常動作をしているようになりすましておいて、秘密裏二悪意ある動作を行いように仕組まれたマルチウェア
被害者が不正コードの仕込まれた実行形式のプログラム(.exeや.com)を実行することで、行動を開始することがほとんどである。
認証システム
生体認証システム
指紋・声紋・虹彩などの身体の中で各人に固有な部位や、筆跡などの行動パターンを予めシステムに登録しておき、認証時に照合することで本人を承認するシステム
バイオメトリクス認証
指紋・声紋・虹彩などの生体情報を、認証システムに登録した日時を用いて認証するサービス
証明サービス
タイムスタンプサービス
電子データがある日時に確かに存在していたこと、及びその日時以降に改ざんされていないことを証明するサービス
タイムスタンプ
対象の電子データのハッシュ値と、信頼できる第三者機関である時刻認証局(TSA)が発行する時刻情報を含んだ電子データ。電子データのハッシュ値とタイムスタンプ内のハッシュ値の比較により、付与時点での「存在性」、その時刻以降の「完全性」確認できる
デジタル署名
公開鍵暗号方式を使ってデジタル文書の正当性を保証する技術。以下を確認できる
- 発信者が正当であるか
- 改ざんの有無
コンピュータ犯罪
サラミ法
不正行為が表面化しない程度に、多数の資産から少しずつ搾取する方法
盗聴
ネットワークを返すて送受信されている音声やデータを不正に傍受する方法
スキャビンジング(ゴミ箱漁り)
プログラム実行後のコンピュータ内部またはその周囲に残っている情報を密かに捜索して、必要な情報を入手する方法
不正アクセス、なりすまし
回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを運用する方法
SEOポイズニング
ウイルスを仕込んだ悪意のあるページに様々なSEO対策を施すことで検索結果の上位に表示させ、キーワードの検索などによって訪れた不特定多数のユーザーに対して、仕掛けを要しして攻撃する行為
DNSキャッシュポイズニング
DNSサーバのキャッシュに偽りの情報を登録させ、汚染されたDNSサーバを利用したユーザーを悪意あるサイトに誘導する行為
クロスサイトスクリプティング
動的にページを生成するWebアプリケーションのセキュリティ上の不備を意図的に利用し、攻撃者が悪意のあるスクリプトを混入させることで、任意の画像に書き換えたり、別のサイトを横断して、ユーザーのクッキーや個人情報を盗んだりするなどの攻撃を行う手法
ソーシャルエンジニアリング
情報通信の技術を用いるのではなく、人のミスや心理的な隙に漬け込むことで、秘密情報を不正に取得する方法の総称
フットプリンティング
攻撃のための情報を事前に収集すること
DNSリフレクション攻撃
攻撃対象のサービスを妨害するために、攻撃者がDNSサーバを踏み台に利用して再帰的な問い合わせを大量に行う
ディレクトリトラバーサル攻撃
ユーザが入力したファイル名をパラメータとして受け取り、それをもとに処理を行うアプリケーションに対して行われる攻撃手法
目的:相対パス指定において親ディレクトリを表す(‥/)など、システムが想定外のファイル名を指定することで、本来人国されているファイルを不正に閲覧及び取得すること
セッションハイジャック
セッションIDによってセッションが管理されるとき、攻撃者がログイン中の利用者のセッションIDを不正に取得し、その利用者になりすましてサーバにアクセスすること
犯罪メール
標的型攻撃メール
メールの件名・本文にあたかもその企業・組織の業務に関係があるような内容を記述し受信者を錯覚させ、ウイルスを仕込んだ添付ファイルを開かせたり、ウイルスに感染させるWebサイトのリンクをクリックさせるようにすること
スパムメール
件名に”未承諾広告※”と記述するメール
架空請求詐欺メール
支払う必要がない猟奇を振り込ませるために、債権回収会社を装って無差別に送信するメール
フィッシング詐欺メール
偽のホームページにアクセスさせるために、金融機関などを装い無差別に送信するメール
