用語
認証局(Certification Authority:CA)
公開暗号方式を用いたデータ通信において、利用者(主にサーバ)の公開鍵の正当性を保証するためのデジタル証明書を発行する第三者機関
PKI(公開鍵基盤)において、以下の役割を担っている
- CRL(証明書失効リスト)の発行
- CPS(認証局運用規定)の公開
- デジタル証明書を検証するための認証局の公開鍵を公開
- 認証局の秘密鍵を厳重に管理
ボット
感染したコンピュータを外部から遠隔操作できる状態にすることを目的に作られた悪性のプログラム
メールヘッダーインジェクション
宛先(To)や件名(Subject)等のメールヘッダーを入力フォームなどの外部から指定できる場合に、改行文字を使ってメールヘッダーや本文を追加・変更する手法
CAPTCHA(キャプチャ)
チャレンジレスポンス型のテストの一種で、認証の際に異なる歪んだ文字列や数字を表示し、書かれている文字を入力させる仕組み
プログラム処理でこれを読み取ることは非常に困難であるため、利用することで、自動プログラムで無差別に投稿するスパム行為や、サーバに負荷がかかる短時間での連続リクエストの送信を抑制することができる
共通鍵暗号方式
デメリット
- 安全に鍵を配送するの手間がかかる
- 通信相手が増えると必要な鍵数が多くなる
公開鍵暗号方式
デメリット
- 暗号化・複合に要する計算量が多いため処理に時間がかかる
共通鍵暗号方式と公開鍵暗号方式の違い
| 共通鍵暗号方式 | 公開鍵暗号方式 | |
| 暗号化と複合の鍵 | 同じ | 異なる |
| 鍵の配送 | 手間がかかる | 必要なし |
| 処理速度(計算量) | 速い(少ない) | 遅い(多い) |
| 秘密に管理する鍵 | 両方 | 秘密鍵のみ |
| 代表的なアルゴリズム | AES,DES,RC4 | RSA,楕円曲線暗号,エルガマル暗号 |
| n人相互の暗号化通信で必要な鍵数 | n(n-1)/2 | 2n |
ハイブリット暗号方式
公開鍵暗号方式を用いて共通鍵を通信相手へ安全に配送し、以後はその共通鍵を使用して暗号化通信を行う方式。TLSやS/MIMEで採用されている。
マルチウェア
ワーム(Worm)
事故の複製をネットワークや電子メール、またはUSBメモリなどの外部メディアに送り込み、他のコンピュータへの拡散動作を繰り返す性質を持つマルチウェア
感染したコンピュータへの悪影響はもとより、感染拡大によりネットワーク負荷やCPU負荷の増大といった二次被害をもたらす。
自身が独立したプログラムであるため、別のシステムに感染しようとする時に宿主となるファイルを必要としない
トロイの木馬
見かけ上は正常動作をしているようになりすましておいて、秘密裏二悪意ある動作を行いように仕組まれたマルチウェア
被害者が不正コードの仕込まれた実行形式のプログラム(.exeや.com)を実行することで、行動を開始することがほとんどである。
認証システム
生体認証システム
指紋・声紋・虹彩などの身体の中で各人に固有な部位や、筆跡などの行動パターンを予めシステムに登録しておき、認証時に照合することで本人を承認するシステム
バイオメトリクス認証
指紋・声紋・虹彩などの生体情報を、認証システムに登録した日時を用いて認証するサービス
証明サービス
タイムスタンプサービス
電子データがある日時に確かに存在していたこと、及びその日時以降に改ざんされていないことを証明するサービス
タイムスタンプ
対象の電子データのハッシュ値と、信頼できる第三者機関である時刻認証局(TSA)が発行する時刻情報を含んだ電子データ。電子データのハッシュ値とタイムスタンプ内のハッシュ値の比較により、付与時点での「存在性」、その時刻以降の「完全性」確認できる
デジタル署名
公開鍵暗号方式を使ってデジタル文書の正当性を保証する技術。以下を確認できる
- 発信者が正当であるか
- 改ざんの有無
コンピュータ犯罪
サラミ法
不正行為が表面化しない程度に、多数の資産から少しずつ搾取する方法
盗聴
ネットワークを返すて送受信されている音声やデータを不正に傍受する方法
スキャビンジング(ゴミ箱漁り)
プログラム実行後のコンピュータ内部またはその周囲に残っている情報を密かに捜索して、必要な情報を入手する方法
不正アクセス、なりすまし
回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを運用する方法
SEOポイズニング
ウイルスを仕込んだ悪意のあるページに様々なSEO対策を施すことで検索結果の上位に表示させ、キーワードの検索などによって訪れた不特定多数のユーザーに対して、仕掛けを要しして攻撃する行為
DNSキャッシュポイズニング
DNSサーバのキャッシュに偽りの情報を登録させ、汚染されたDNSサーバを利用したユーザーを悪意あるサイトに誘導する行為
クロスサイトスクリプティング
動的にページを生成するWebアプリケーションのセキュリティ上の不備を意図的に利用し、攻撃者が悪意のあるスクリプトを混入させることで、任意の画像に書き換えたり、別のサイトを横断して、ユーザーのクッキーや個人情報を盗んだりするなどの攻撃を行う手法
ソーシャルエンジニアリング
情報通信の技術を用いるのではなく、人のミスや心理的な隙に漬け込むことで、秘密情報を不正に取得する方法の総称
なりすまし
管理者や関係者になりすまして秘密情報を不正取得する
ショルダーハッキング
モニター画面やキーボード操作を利用者の背後から盗み見て、ログイン情報等を不正に取得する
トラッシング(スカベンジング)
ゴミ箱に捨てられているメモや書類を明後日秘密情報を取得する
のぞき見
FAXやプリンターに遺された印刷物、オフィス内のメモ・付箋、机の上に放置された書類等から秘密情報を不正取得する
フットプリンティング
攻撃のための情報を事前に収集すること
DNSリフレクション攻撃
攻撃対象のサービスを妨害するために、攻撃者がDNSサーバを踏み台に利用して再帰的な問い合わせを大量に行う
ディレクトリトラバーサル攻撃
ユーザが入力したファイル名をパラメータとして受け取り、それをもとに処理を行うアプリケーションに対して行われる攻撃手法
目的:相対パス指定において親ディレクトリを表す(‥/)など、システムが想定外のファイル名を指定することで、本来人国されているファイルを不正に閲覧及び取得すること
セッションハイジャック
セッションIDによってセッションが管理されるとき、攻撃者がログイン中の利用者のセッションIDを不正に取得し、その利用者になりすましてサーバにアクセスすること
パスワードリスト攻撃
複数のサイトで同様のID・パスワードの組み合わせを使用している利用者が多いという傾向を悪用し、あるサイトに対する攻撃など何らかの方法で入手した認証情報のリストを用いて、複数の別サイトへの不正ログインを試みる攻撃
ブルートフォース攻撃(総当たり攻撃)
特定の文字数及び文字種で設定される可能性のある組み合わせ全てを試すことで不正ログインを試みるパスワードクラック手法
対策:ログインの試行回数に制限を設ける
リバースブルートフォース攻撃
ブルートフォースと逆
パスワードを1つに固定し、利用者IDを総当りで試していくことで不正ログインを試みるパスワードクラック手法
様々な利用者IDを総当りで試すため、一般的なアカウントロックの仕組みでは防御しにくい性質がある
レインボー攻撃
想定されるパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃
目的:通常パスワードは漏洩防止のためハッシュ化された状態でサーバに記録されるが、レインボー攻撃はこのハッシュ化されたパスワードから本来のパスワードを推測すること
辞書攻撃
辞書に載っている英単語、人名、パスワードによく使われる文字列などを大量に登録したリスト(辞書ファイル)を用意して、1つずつ試していくことでパスワード解読する攻撃手法
対策:推測されにくいパスワードを設定する
スニッフィング
通信経路場を流れるパケットを盗聴して、その内容からパスワードの不正取得を試みる攻撃手法
対策:パスワードを暗号化して送信する
DDos攻撃(Distributed of Service)
ネットワークを介して不特定多数のコンピュータをウィルスに感染させ、感染したコンピュータを遠隔操作することで標的のサーバへ一斉攻撃を仕掛けさせる攻撃
犯罪メール
標的型攻撃メール
メールの件名・本文にあたかもその企業・組織の業務に関係があるような内容を記述し受信者を錯覚させ、ウイルスを仕込んだ添付ファイルを開かせたり、ウイルスに感染させるWebサイトのリンクをクリックさせるようにすること
スパムメール
件名に”未承諾広告※”と記述するメール
架空請求詐欺メール
支払う必要がない猟奇を振り込ませるために、債権回収会社を装って無差別に送信するメール
フィッシング詐欺メール
偽のホームページにアクセスさせるために、金融機関などを装い無差別に送信するメール
