- AACS 【Advanced Access Content System】
- Aレコード
- CAAレコード
- CASB(Cloud Access Security Broker)
- CDN
- CRYPTREC暗号リスト
- CVE(Common Vulnerabilities and Exposures)識別子
- CVSS ( Common Vulnerability Scoring System)
- DKIM(DomainKeys Identified Mail)
- DNSキャッシュポイズニング
- ダイナミックDNS
- EDSA認証
- EDR
- Enhanced Open
- FQDN(Fully Qualified Domain Name)
- HMAC
- HTTPヘッダインジェクション
- IDS
- Kerberos認証
- LDAP通信
- NFV(Network Functions Virtualisation)
- NOTICE(National Operation Towards IoT Clean Environment)
- OCSP(Online Certificate Status Protocol
- OSコマンドインジェクション
- Pass the Hash攻撃
- PQC(post-Quantum Cryptography)
- postメソッド
- SNMP(Simple Network Management Protocol)
- SQLインジェクション
- サーバーメッセージブロック
- TLS
- Network Attached Strorage
- VLAN
- VXLAN
- webshell
- 暗号スイート 【cipher suite】 サイファースイート
- ウェルノウンポート
- カミンスキー攻撃
- クエリ文字
- クライアント認証
- クロスサイトリクエストフォージェリ(CSRF)
- ケルベロス認証
- 権威DNSサーバー
- コードサイニング
- サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
- テスト駆動開発(TDD:Test-Driven Development)
- テンペスト攻撃
- トランザクション署名
- トランザクション
- パスワードスプレー攻撃
- ファイルレスマルウェア
- パストラバーサル
- マッシュアップ(Mashup)
- マルチベクトル型DDoS攻撃
- メールヘッダインジェクション
- ルートキット(rootkit)
- クロスサイトスクリプティング(XSS)
AACS 【Advanced Access Content System】
AACSとは、Blu-ray Discで採用されている著作権保護のための映像・音声データのコピープロテクト技術。販売・レンタルされる映像ソフトやデジタル放送の録画などを違法コピーから守るために用いられる。
Aレコード
Aレコードとは、DNSレコードの一種で、特定のドメイン名に対応するIPアドレスを定義するものです。Aレコードは、ドメイン名を特定のIPアドレスに向けるために使用されます[1][2][3][6][8]。Aレコードは、DNSレコードの最も基本的なタイプで、ユーザーがあなたのドメイン名にアクセスするときに、どのIPアドレスに接続するかを指定します[8]。Aレコードは、IPv4アドレスのみを保持します[6]。Aレコードは、DNSの設定に不可欠であり、DNSサーバーの仕組みについて理解する必要があります[8]。
Citations:
[1] https://e-words.jp/w/A%E3%83%AC%E3%82%B3%E3%83%BC%E3%83%89.html
[2] https://hp-shizuoka.jp/column/2016/10/7515/
[3] https://www.value-domain.com/media/a-record/
[4] https://help.onamae.com/answer/7883
[5] https://wa3.i-3-i.info/word12288.html
[6] https://www.cloudflare.com/ja-jp/learning/dns/dns-records/dns-a-record/
[7] https://support.yahoo-net.jp/PccDomains/s/article/H000006221
[8] https://powerdmarc.com/ja/what-is-a-dns-a-record/
CAAレコード
CAAレコード (Certification Authority Authorization record) は、DNSで定義されるそのドメインについての情報(リソースレコード)の種類の一つで、そのドメインに対してデジタル証明書を発行できる認証局を指定するものです。IETFによって2013年にRFC 6844として標準化されました。
WebサーバでSSL/TLS対応とする場合など、インターネット上で公開鍵暗号を利用する際には認証局(CA)が発行したデジタル証明書を導入します。CAAレコードはそのドメイン名や配下のサブドメイン、ホストに対して証明書を発行できる認証局を指定し、制限することができます。
例えば、example.jpドメインの管理者が、DNSのゾーン情報に「example.jp. IN CAA 0 issue “example.com”」のように指定すれば、「example.com」のドメインで運用されている認証局にのみ証明書の発行を許可することができます。”example.com” の部分を空欄を意味する “;” とすれば、いかなる認証局も証明書を発行することはできない。
CAAレコードは、あるドメインに対して管理者に無断で勝手に第三者が証明書を発行することを防ぐための仕組みです。認証局は発行依頼を受けたドメイン名のCAAレコードを確認し、発行しても良いかどうかを判断します。CAAレコードの設定は任意であるため、管理者が記述していない場合はこのチェックは機能しない。
CAAレコードを登録することで、第三者にSSL証明書を発行することを防ぐことができます。ただし、2022年7月の時点ではまだ普及しておりません。ブラウザフォーラムにて2017年9月8日以降、SSL証明書発行時に認証局によるCAA レコードの確認が必須化されました。何もレコードが登録されていない場合は、SSL証明書が発行されます。
CASB(Cloud Access Security Broker)
利用者とクラウドサービスプロバイダとの間に単一のコントロールポイントを設けて、クラウドサービス利用の「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を提供する仕組み。
CDN
CDNはContent Delivery Networkの略で、グローバルに分散されたサーバーネットワークを指します。CDNは、ウェブコンテンツとインターネットサービスの配信を高速化し、信頼性を向上させるために使用されます。 CDNは、オリジンサーバーからコンテンツを取得し、世界中の複数のキャッシュサーバーに保存します。ユーザーがコンテンツを要求すると、CDNはユーザーに最も近いキャッシュサーバーからコンテンツを提供することで、データの転送時間を短縮し、読み込み時間を速めます。 CDNの主な利点は以下のとおりです: 1. パフォーマンスの向上: ユーザーに近い場所にデータを配置することで、ウェブサイトやアプリケーションのロード時間が大幅に短縮されます。 2. スケーラビリティ: トラフィックの急増や大規模な配信ニーズに対応する能力が向上します。 3. 可用性と信頼性: サーバーが分散しているため、一部のサーバーに障害が発生しても、他のサーバーがコンテンツを提供し続けることができます。 4. セキュリティ: 分散されたサーバーを利用することで、DDoS攻撃などのセキュリティリスクに対する耐性が向上します。 CDNは静的コンテンツ(画像、CSS/JavaScriptファイルなど)だけでなく、動的コンテンツやストリーミングメディアの配信にも利用されます。また、ウェブ加速、ソフトウェア配布、ゲーム、広告技術など、様々な分野で活用されています。
CRYPTREC暗号リスト
暗号技術検討会及び関連委員会(CRYPTREC)により電子政府での使用に際しての安全性及び実装性能が確認された暗号のリスト。
CVE(Common Vulnerabilities and Exposures)識別子
米国MITRE社が管理運営を行っている、一般公表されている公知の脆弱性情報を掲載している脆弱性情報辞書(データベース)。
CVSS ( Common Vulnerability Scoring System)
情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。
情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。
DKIM(DomainKeys Identified Mail)
送信する電子メールにディジタル署名を付加し、受信側で発信元DNSサーバに登録されている公開鍵を使用しディジタル署名の確認を行うことで発信元メールサーバの正当性を検証する仕組み。
DNSキャッシュポイズニング
DNSキャッシュサーバに偽のDNS応答を送信してキャッシュさせ、偽サイトに誘導する攻撃のことをDNSキャッシュポイズニング攻撃といいます。
ダイナミックDNS
ダイナミックDNSとは、インターネットに接続されたコンピュータや機器のIPアドレスが変わっても、常に同じドメイン名でアクセスできるようにする仕組みです。例えば、自宅のパソコンやカメラをインターネットに公開したい場合、固定IPアドレスを取得する必要がありますが、それには費用がかかります。ダイナミックDNSを利用すれば、固定IPアドレスを持たなくても、自分の好きなドメイン名で自宅の機器にアクセスできます。ダイナミックDNSを使うには、まずダイナミックDNSサービスの提供者に登録し、ドメイン名を取得します。次に、自宅のルーターやパソコンにダイナミックDNSクライアントと呼ばれるソフトウェアをインストールします。このソフトウェアは、自分のIPアドレスが変わったときに、ダイナミックDNSサービスのサーバーに通知して、ドメイン名とIPアドレスの対応を更新します。これで、インターネットから自分のドメイン名で自宅の機器にアクセスできるようになります。ダイナミックDNSは、自宅サーバーの運用やリモートアクセスなどに便利な技術です。しかし、セキュリティや法律の面でも注意が必要です。自分の機器をインターネットに公開するということは、攻撃や不正アクセスのリスクも高まるということです。また、著作権やプライバシーなどの法律も遵守しなければなりません。ダイナミックDNSを利用する際は、常に最新のセキュリティ対策を行い、法的な責任を理解しておく必要があります。
EDSA認証
組込み機器のセキュリティ保証に関する認証制度。
EDR
EDRは「Endpoint Detection and Response」の略で、エンドポイント検出と対応を意味します。これは、組織のネットワーク内のエンドポイント(PC、ラップトップ、モバイルデバイスなど)を監視し、サイバー脅威や悪意のある活動を検出、調査、対処するためのセキュリティ技術です。EDRシステムは、エンドポイントに関する詳細な情報を収集し、異常な行動や潜在的な脅威をリアルタイムで識別することができます。これにより、セキュリティインシデントへの迅速な対応と、将来の脅威に対するより良い保護が可能になります。
EDRソリューションの主な機能には以下のようなものがあります:
– **脅威の検出**: リアルタイムでの監視と分析を通じて、マルウェア、ランサムウェア、その他の悪意のある活動を検出します。
– **インシデント調査と応答**: 脅威が検出された場合、EDRツールは詳細なコンテキストと分析を提供し、対応策を迅速に実行することができます。
– **行動分析**: エンドポイントの通常の動作パターンを学習し、それから逸脱する行動を検出することで、ゼロデイ攻撃などの未知の脅威に対応します。
– **脅威の追跡と記録**: インシデントの詳細を記録し、将来の分析や対策のための情報を提供します。
EDRは、従来のアンチウイルスソフトウェアやファイアウォールとは異なり、より進んだ脅威に対処するための追加のセキュリティレイヤーを提供します。企業や組織がサイバーセキュリティの脅威に対してより強固な防御を構築する上で重要な役割を果たします。
Enhanced Open
RFC 8110に基づいたものであり,公衆無線LANなどでパスフレーズなどでの認証なしに,端末とアクセスポイントとの間の無線通信を暗号化するもの
FQDN(Fully Qualified Domain Name)
DNS(Domain Name System)などのホスト名、ドメイン名(サブドメイン名)などすべてを省略せずに指定した記述形式のこと。例えば、「www.atmarkit.co.jp.」はホスト名「www」とドメイン名「atmarkit.co.jp」をすべて揃えたFQDNである。
HMAC
HMACとは、Hash Based Message Authentication Codeの略で、公開鍵、秘密鍵、ハッシュを組み合わせることで、ハッカーが情報を解凍できないようにするメッセージ認証の暗号化技術の1つ。
HTTPヘッダインジェクション
HTTPヘッダインジェクションは、Webアプリケーションの脆弱性を利用した攻撃手法の一つです。攻撃者はクライアントから送信される値を適切に処理せず、それをHTTPレスポンスヘッダに含めることによって発生します。具体的には、WebブラウザがWebサーバに送信するHTTPリクエストに改行コードなどを挿入し、それがサーバで適切に処理されないと、意図しないヘッダが生成されてしまいます。これにより、悪意のあるヘッダが挿入され、セキュリティ上の脆弱性が引き起こされる可能性があります。
## 🌐 Sources
1. [ubsecure.jp – HTTPヘッダインジェクション【HTTP Header Injection】とは](https://www.ubsecure.jp/blog/http-header-injection)
2. [f5.com – HTTPヘッダインジェクション](https://www.f5.com/ja_jp/glossary/http-header-injection)
3. [ipa.go.jp – 安全なウェブサイトの作り方 – 1.7 HTTPヘッダ・インジェクション](https://www.ipa.go.jp/security/vuln/websecurity/http-header.html)
4. [yamory.io – 改行コードに要注意! HTTP ヘッダインジェクションの概要と対策](https://yamory.io/blog/about-http-header-injection/index.html)
5. [office110.jp – HTTPヘッダインジェクション攻撃の危険性とは?仕組み・被害](https://office110.jp/security/knowledge/cyber-attack/http-header-injection-attack)
6. [shadan-kun.com – HTTPヘッダインジェクションとOSコマンドインジェクションの違い](https://www.shadan-kun.com/blog/measure/1387/)
IDS
Intrusion Detection Systemの略で「侵入検知システム」とも呼ばれる。ネットワーク上を流れるパケットを監視したり、サーバー上の受信データやログを調べたりして、何らかの不正侵入の兆候が確認できた場合に、管理者へ警告メールを通知するなどのアクションを起こすシステム。管理者は実際の被害に先立って警戒でき、必要であれば回線切断などの防衛策を講じることができ、システムの破壊などを未然に防止できる。
Kerberos認証
ケルベロス認証は、ネットワーク認証手段の一つで、サーバーとクライアント間の身元確認のために利用されるプロトコルです¹。この認証方式では、クライアントとサーバーを相互に認証し、通信を保護するためにサーバーとクライアント間の通信を暗号化します¹。 ケルベロス認証の主な流れは以下の通りです¹²: 1. 認証要求:クライアントからIDとパスワードをAuthentication Service (AS)に送信します。 2. Ticket Granting Ticket (TGT)の発行:ASは認証が成功するとTGTを発行します。このTGTはキャッシュに保存されます。 3. 「サーバにアクセスするためのチケット」の取得:クライアントはTGTをTicket Granting Service (TGS)に送信し、アクセスしたいサーバのチケットを要求します。TGSはTGTを認証し、サーバ用のチケットを発行します。 4. サーバへのチケット送信:クライアントはサーバ用のチケットをサーバに送信します。サーバはチケットを認証し、認証が成功するとクライアントにアクセスを許可します。 ケルベロス認証のメリットとしては、以下のような点が挙げられます¹: – 利便性向上:一度認証を行えば、その後はチケットを使って認証なしでログインできるため、ユーザーの利便性が向上します。 – セキュリティ強化:認証情報を一元管理することで、強固な一つのパスワードを設定するだけで済むため、セキュリティが強化されます。 – パスワード管理作業の軽減:ユーザーがパスワードを忘れてしまい、その都度対応する手間を大幅に減らすことが可能です。 – 低コストで導入可能:大幅なシステム改修などが必要な統合ID管理と比較して、ケルベロス認証は低コストで導入可能です。
(1) ケルベロス認証とは?仕組みやメリット、シングルサインオン方式について徹底解説|サイバーセキュリティ.com. https://cybersecurity-jp.com/column/38350.
(2) Kerberos認証とは?基礎知識3つのわかりやすい解説をご紹介!. https://www.fenet.jp/infla/column/technology/kerberos認証とは?基礎知識3つのわかりやすい解説をご/.
(3) ケルベロス(Kerberos)認証とは?基礎知識と併せてシングルサインオンとの関係性までわかりやすく解説. https://blog.trustlogin.com/2023/kerberos.
(4) Kerberos認証とは?インターネットセキュリティの鍵. https://itkagyo.com/whats-kerberos-authentication/.
(5) Kerberos認証とは何? わかりやすく解説 Weblio辞書. https://www.weblio.jp/content/Kerberos認証.
LDAP通信
LDAP(Lightweight Directory Access Protocol)通信とは、インターネットやその他のIPネットワークを通じてディレクトリサービスにアクセスするためのプロトコル(通信規約)です。ディレクトリサービスとは、ネットワーク上のユーザーやサービス、周辺機器などの情報を一元的に管理する仕組みであり、LDAPはその情報に迅速にアクセスし、検索や管理を行うために使用されます[1][4]。 LDAPは、軽量であるため大量のデータを迅速に検索・取得することが可能であり、企業の従業員の連絡先情報やネットワーク上のデバイスの情報など、さまざまな情報を一元的に管理・提供するのに役立ちます[5]。また、LDAPはX.500ディレクトリサービスの標準に基づいて開発され、X.500の主要な機能を維持しつつ、よりシンプルで軽量なプロトコルとして設計されています[5]。 LDAP通信では、クライアントソフトを用いてディレクトリサーバに接続し、管理する情報を利用するための通信手順やデータ形式が定められています。LDAP自体にはデータの暗号化やパスワードの秘匿といったセキュリティ保護機能がないため、暗号化プロトコルのSSL/TLSと併用してLDAPによる通信全体を暗号化するLDAPS(LDAP over SSL/TLS)と呼ばれる通信方式が用いられることがあります[4]。
Citations: [1] https://www.okta.com/jp/identity-101/what-is-ldap/
[2] https://wa3.i-3-i.info/word12692.html
[3] https://atmarkit.itmedia.co.jp/ait/spv/0401/01/news015.html
[4] https://e-words.jp/w/LDAP.html
[5] https://www.netattest.com/ldap-2023_mkt_tst
[6] https://admina.moneyforward.com/jp/blog/ldap
[7] https://www.redhat.com/ja/topics/security/what-is-ldap-authentication
[8] https://www.onelogin.com/jp-ja/learn/what-is-ldap
NFV(Network Functions Virtualisation)
仮想化技術を利用して、従来はルータ、スイッチ、ファイアウォール、ロードバランサなどの専用機器で行われていた機能を、汎用サーバ内の仮想マシン上で動くソフトウェアとして実装するアーキテクチャ。
NOTICE(National Operation Towards IoT Clean Environment)
総務省、国立研究開発法人情報通信研究機構(NICT)及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組。
OCSP(Online Certificate Status Protocol
リアルタイムでディジタル証明書の失効情報を検証し、有効性を確認するプロトコル。
OSコマンドインジェクション
OSコマンドインジェクションとは、外部からの入力をそのままOSのコマンドとして実行してしまう脆弱性のことです。例えば、Webアプリケーションでファイル名を入力するフォームがあったとします。このフォームに「test.txt; rm -rf /」という文字列を入力したら、OSは「test.txt」というファイルを探すだけでなく、「rm -rf /」というコマンドも実行してしまいます。これにより、システムの全てのファイルが削除される可能性があります。
OSコマンドインジェクションを防ぐには、外部からの入力を信用せず、適切に検証やエスケープを行う必要があります。また、OSのコマンドを実行する必要がない場合は、そもそも実行しないようにすることも重要です。OSコマンドインジェクションは、深刻な被害をもたらす可能性が高いので、開発者は常に注意して対策を講じるべきです。
Pass the Hash攻撃
Pass-the-Hashでは、攻撃者は、様々な方法やツールを用いて有効なユーザ名とユーザパスワードのハッシュ値を取得する。その後、その情報を用いて、LM認証やNTLM認証を用いてリモートサーバやサービスを認証することで正規のユーザになりすまして攻撃を行う。
PQC(post-Quantum Cryptography)
従来のコンピューターを使って暗号化や復号ができるが、将来の量子コンピューターによる攻撃に耐えられる、新しい種類の暗号化の方法。
postメソッド
postメソッドとは、HTTPプロトコルでサーバーにデータを送信する方法の一つです。postメソッドは、主にフォームの入力内容やファイルのアップロードなどに使われます。postメソッドの特徴は、以下のようになります。
– データはリクエストボディに含まれるため、URLには表示されません。
– データのサイズに制限がありません。
– GETメソッドと比べて、セキュリティが高いと言えます。
postメソッドを使う場合は、HTMLのformタグのmethod属性に”post”を指定します。また、送信するデータはinputタグやtextareaタグなどで指定します。例えば、以下のようなコードで、名前とメールアドレスを送信することができます。
このように、postメソッドはサーバーにデータを送信する際に便利な方法です。ただし、postメソッドだけではデータの安全性を保証できません。例えば、中間者攻撃や偽装リクエストなどに対しては、HTTPSやトークンなどの対策が必要です。postメソッドを使う際は、セキュリティにも注意しましょう。
html
<form method=”post” action=”https://example.com/post.php”>
<p>名前: <input type=”text” name=”name”></p>
<p>メールアドレス: <input type=”email” name=”email”></p>
<p><input type=”submit” value=”送信”></p>
</form>
SNMP(Simple Network Management Protocol)
TCP/IPネットワーク上でネットワーク上の機器の情報を収集して、監視や制御を行うためのプロトコル。
SQLインジェクション
SQLインジェクションとは、Webアプリケーションの脆弱性を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。
SQLインジェクションの目的は、データベースから情報を不正に取得したり、データベースを改ざんしたり、データベースを破壊したりすることである。
サーバーメッセージブロック
サーバーメッセージブロックとは、ネットワーク上でファイルやプリンタなどのリソースを共有するためのプロトコルです。サーバーメッセージブロックは、WindowsやLinuxなどのオペレーティングシステムに対応しており、異なる種類のコンピュータ間でデータのやり取りを可能にします。サーバーメッセージブロックは、TCP/IPやNetBEUIなどの下位層のプロトコルに依存せずに動作します。サーバーメッセージブロックは、SMBとも呼ばれ、CIFS(Common Internet File System)という名称で拡張されたバージョンもあります。
TLS
インターネットなどのTCP/IPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ。データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる。SSLの後継規格。
Network Attached Strorage
Network Attached Storageとは、ネットワークに接続されたストレージデバイスのことです。ネットワーク上の複数のコンピューターやデバイスからファイルを共有したり、バックアップしたりすることができます。Network Attached Storageは、一般的には専用のサーバーとして機能する小型のボックスに入ったハードディスクやSSDなどの記憶装置から構成されます。Network Attached Storageは、ローカルエリアネットワーク(LAN)やインターネットに接続されており、特定のIPアドレスやポート番号を持ちます。Network Attached Storageの利点は、データのセキュリティやアクセス制御を高めることや、ストレージ容量を柔軟に拡張することができることなどが挙げられます。Network Attached Storageは、個人や家庭だけでなく、ビジネスや教育などの分野でも広く利用されています。
VLAN
VLAN(Virtual Local Area Network)とは、物理的な位置や接続に関わらず、ネットワーク上で独立したグループを作成する技術です。これにより、大きな物理的ネットワークを小さな仮想的なセグメントに分割でき、それぞれのセグメントが独自のネットワークとして機能します。
VLANの主な利点は以下の通りです:
1. **セキュリティ向上**:異なる部署やユーザーグループがお互いに通信できないようにすることで、機密情報の保護を強化できます。
2. **トラフィックの分離**:ネットワークの異なる部分間でトラフィックが混在することを避けることができ、結果としてパフォーマンスが向上します。
3. **柔軟性の向上**:物理的な配置に依存せずにネットワークを構成できるため、組織の変化や成長に合わせて容易に調整できます。
4. **コスト削減**:物理的なネットワークを分割する代わりに、既存の機器を使用して仮想的にネットワークを分割することで、追加のハードウェアコストを削減できます。
VLANを実装するには、スイッチやルーターなどのネットワーク機器がVLANをサポートしている必要があります。管理者はこれらの機器を設定して、特定のポートやタグ付けされたトラフィックを特定のVLANに割り当てることができます。これにより、物理的な接続に関係なく、ネットワーク上のデバイスを特定のVLANに属するように分類できます。
例えば、会社で営業部門と技術部門があり、それぞれが異なるネットワークリソースを使用する必要がある場合、VLANを使用して2つの異なるネットワークセグメントを作成できます。このようにして、各部門は他部門のトラフィックに影響されることなく、必要なリソースへのアクセスを保持できます。
要するに、VLANはネットワークのセキュリティ、パフォーマンス、柔軟性を向上させるための効果的な手段であり、物理的な制約から独立してネットワークリソースをより効率的に管理することができます。
VXLAN
VXLAN(Virtual eXtensible Local Area Network)とは、L3ネットワーク上に論理的なL2ネットワークを構築するトンネリングプロトコルのことです。VXLANでは、VXLAN IDを使用してイーサネットフレームをカプセル化することでトンネリングを実現しています。2014/8 にIETF RFC7348として公開されています。
webshell
webshellとは、ウェブサーバー上にアップロードされたスクリプトファイルのことです。このスクリプトファイルを通じて、攻撃者はウェブサーバーの管理権限を奪ったり、機密情報を盗んだり、他のサーバーに侵入したりすることができます。webshellはPHPやASPなどのウェブ開発言語で書かれており、ウェブサーバーの設定やファイルシステムにアクセスできるようになっています。webshellは一般的に、脆弱性のあるウェブアプリケーションを利用してアップロードされます。例えば、ファイルアップロード機能やSQLインジェクションなどの攻撃手法が使われます。webshellはサイバー犯罪やサイバー戦争の重要なツールとなっており、ウェブサーバーのセキュリティを高めることが必要です。
暗号スイート 【cipher suite】 サイファースイート
暗号スイートとは、様々な手段や方式を組み合わせた暗号通信システムにおいて、暗号アルゴリズムやハッシュ関数、鍵長などの設定の組み合わせ。通信を開始する際にどの暗号スイートを利用するか交渉を行い合意する必要がある。
ウェルノウンポート
TCP/IPで使用されるポート番号のうち、0から1023までの範囲に割り当てられたポート番号のこと
カミンスキー攻撃
DNSキャッシュポイズニング攻撃の1つで、キャッシュに存在しないサブドメインへのDNSクエリ発行を利用して、攻撃を従来より効率良く成立させる手法。
クエリ文字
クエリ文字とは、ウェブサイトのURLに含まれるパラメーターのことです。例えば、https://www.bing.com/search?q=クエリ文字とは というURLでは、q=クエリ文字とは がクエリ文字になります。クエリ文字は、ウェブサーバーに対して特定の情報や要求を伝えるために使われます。クエリ文字の形式は、?で始まり、&で区切られたキーと値の組み合わせで構成されます。キーと値は=でつながります。例えば、q=クエリ文字とは では、qがキーで、クエリ文字とはが値です。クエリ文字を使うことで、ウェブサイトの機能や表示内容をカスタマイズしたり、検索結果やページネーションなどを実現したりできます。
クライアント認証
クライアント認証は、サーバにSSL(Secure Sockets Layer)で接続する際に、クライアント(例えば、ブラウザ)が電子証明書を提示して接続元を認証する仕組みです。このプロセスでは、クライアントとサーバが相互に認証し合う必要があります。通常のSSL経由のHTTP接続では、クライアントが一方的にサーバを認証しますが、クライアント認証では、サーバもクライアントを認証します。クライアントが提示する電子証明書は、サーバが信用する認証局によって署名されている必要があります[1][2]。
クライアント証明書は、ユーザーの信用性を保証する電子証明書であり、ネットワークに接続可能な端末を指定する手段として用いられます。これにより、企業が許可した端末のみがネットワークに接続できるようになります。クライアント証明書を導入することで、情報セキュリティの強化や業務効率化など、複数のメリットが見込めます[3]。
TLS(Transport Layer Security)の規格では、サーバの認証は必須ですが、クライアントの認証はオプション扱いとなっています。サーバの設定によっては、クライアント証明書による認証を強制させることができます。クライアント証明書で相手を認証するには、サーバ側に「クライアント証明書のルート証明書」が必要になります。逆もまた然りです。クライアント証明書とサーバ証明書の認証局は同一でも構いません[4]。
クライアント認証を行うSSL接続の場合、クライアントがサーバの電子証明書を承認するだけでなく、クライアントもサーバに自身の電子証明書を提示し、双方が互いを認証する必要があります。これにより、通常のIDパスワードによる認証よりもセキュリティ強度を高めることができます[2][4]。
Citations:
[1] https://www.spiral-platform.co.jp/article/word/sslclient/
[2] https://support.smp.ne.jp/configuration/options/cert_auth1/
[3] https://www.otsuka-shokai.co.jp/solution/keyword/security/client-certificate/
[4] https://milestone-of-se.nesuke.com/sv-advanced/digicert/client-cert/
[5] https://jp.globalsign.com/lp/epki/
[6] https://jp.globalsign.com/managed-pki/about_clientcert.html
[7] https://trends.codecamp.jp/blogs/media/difference-word263
[8] https://www.digicert.com/jp/faq/public-trust-and-certificates/whats-the-difference-between-client-certificates-vs-server-certificates
[9] http://alk.dip.jp/sv290.html
[10] https://www.ibm.com/docs/ja/zos/2.4.0?topic=security-client-authentication
[11] https://support.trustlogin.com/hc/ja/articles/231829468-%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8%E8%AA%8D%E8%A8%BC-client-certificate-authentication-%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E3%82%B7%E3%83%A7%E3%82%A6%E3%83%A1%E3%82%A4%E3%82%B7%E3%83%A7%E3%83%8B%E3%83%B3%E3%82%B7%E3%83%A7%E3%82%A6
[12] https://www.ibm.com/docs/ja/wcici/7.5.1?topic=orchestrations-ssl-client-authentication
[13] https://www.postgresql.jp/docs/9.2/client-authentication.html
クロスサイトリクエストフォージェリ(CSRF)
Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。
ケルベロス認証
ケルベロス認証は、ネットワーク上でのユーザー認証を行うための方式の一つであり、シングルサインオン(SSO)を実現する手段として利用されています。ユーザーが初回利用時にチケットを取得し、次回以降はそのチケットを使用してパスワードの再入力なしにログインできる仕組みです[1]。ケルベロス認証は、クライアントとサーバー間の通信を暗号化し、チケットを使用してユーザーの身元確認を行います[3]。具体的な流れとしては、ユーザーが正しいユーザIDとパスワードを認証サーバーに送信し、認証に成功するとチケットが発行されます。そのチケットを使用してサーバーへのアクセス権限が確認されます[3]。ケルベロス認証の利点としては、セキュリティの向上や利便性の向上が挙げられますが、チケットの盗み見や不正アクセスのリスクも考慮する必要があります[1]。
Citations:
[1] https://blog.trustlogin.com/2023/kerberos
[2] https://eset-info.canon-its.jp/malware_info/special/detail/230131.html
[3] https://www.infraexpert.com/study/security18.html
[4] https://ja.wikipedia.org/wiki/%E3%82%B1%E3%83%AB%E3%83%99%E3%83%AD%E3%82%B9%E8%AA%8D%E8%A8%BC
[5] https://www.ntt-west.co.jp/business/glossary/words-00274.html
権威DNSサーバー
権威DNSサーバーは、インターネット上で特定のドメイン名とその関連するリソースレコード(Aレコード、MXレコードなど)を保持するDNSサーバーです。これらは、ドメイン名をIPアドレスに変換することで、ユーザーがウェブサイトやメールサーバーなどにアクセスするために必要な正確な情報を提供します。
権威DNSサーバーは、ドメイン名の登録者またはドメイン名を管理するサービス事業者によって設定されます。
DNSシステムには、権威DNSサーバーのほかにもキャッシュDNSサーバー(リゾルバとも呼ばれる)があり、これらはユーザーのクエリに応答するために、以前に権威DNSサーバーから得た情報を一時的に保存します。キャッシュDNSサーバーは、権威DNSサーバーからの情報に基づいて、ユーザーに迅速な応答を提供することができます。
キャッシュDNSサーバーの情報は、定期的に権威DNSサーバーから更新されます。expand_moreただし、権威DNSサーバーの情報が更新された直後、キャッシュDNSサーバーの情報が更新されるまでにタイムラグが発生することがあります。
コードサイニング
コードサイニングは、ソフトウェアの安全性と信頼性を確保するために不可欠なセキュリティ技術です。デジタル署名によって、開発者は自身の作品が不正な変更されずにエンドユーザーに届くことを保証できます。また、ユーザーやシステムは署名を検証することで、ソフトウェアが安全であることを確認できます。これにより、デジタル環境全体のセキュリティが向上します。
コードサイニングの仕組み
鍵の生成: ソフトウェア開発者は、公開鍵と秘密鍵のペアを生成します。公開鍵は誰にでも配布され、秘密鍵は安全に保管されます。
ハッシュ値の生成: 開発者は、ソフトウェアのハッシュ値(ソフトウェアの内容を数学的に変換した一意の値)を生成します。
署名の生成: 秘密鍵を使用してハッシュ値に署名します。この署名は、ソフトウェアと一緒に配布されます。
署名の検証: エンドユーザーやシステムは、公開鍵を使用して署名を検証します。ハッシュ値が一致すれば、ソフトウェアが改ざんされていないことが保証されます。
コードサイニングの重要性
信頼性の確保: コードサイニングにより、ソフトウェアが信頼できるソースから来ていることをユーザーに保証します。
セキュリティの向上: 改ざんされたソフトウェアの配布を防ぎ、マルウェアやウイルスのリスクを減少させます。
コンプライアンス: 一部のプラットフォームや組織では、署名されたソフトウェアのみの実行を要求しています。これは、規制遵守のためにも重要です。
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
経済産業省では、サイバー空間とフィジカル空間を高度に融合させることにより実現される「Society5.0」、様々なつながりによって新たな付加価値を創出する「Connected Industries」における新たなサプライチェーン(バリュークリエイションプロセス)全体のサイバーセキュリティ確保を目的として、産業に求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク」を策定しました。
テスト駆動開発(TDD:Test-Driven Development)
XPの基本となる12のプラクティスのうちの1つで、求める機能を明確化するために、プログラムを記述するよりも前にテストコードを作成する開発手法。
テンペスト攻撃
モニタやキーボード、ネットワークケーブルなどから放射されている微弱な電磁波を傍受し解析することで元の情報の再現を試みる攻撃手法。
トランザクション署名
インターネットバンキングの乗っ取り、金融詐欺に効果的な ワンタイムパスワードトークンを使用した認証方法になり、インターネットバンキングで行った取引(トランザクション)が改ざんされていないかを認証してから取引できるような仕組み。
トランザクション
トランザクションとは、主にデータベースなどにおいて使われる用語で、「複数の処理を一つの処理としてまとめたもの」のことを指します。
パスワードスプレー攻撃
パスワードスプレー攻撃とは、複数のアカウントに対して同じパスワードを連続的に試行するサイバー攻撃です。ハッカーは、一般的に推測しやすいパスワードリストを用いて、短時間で多くのアカウントを不正ログインしようと試みます。
従来のブルートフォース攻撃との違い
従来のブルートフォース攻撃は、特定のアカウントに対してパスワードを一つずつ試行していく方法です。一方、パスワードスプレー攻撃は、複数のアカウントに対して同じパスワードを試行するため、短時間で多くのアカウントを攻撃できます。
パスワードスプレー攻撃の手口
- ハッカーは、漏洩パスワードリストや推測しやすいパスワードリストを入手します。
- 攻撃対象となるシステムのユーザー名リストを入手します。
- リストに記載されたパスワードを、自動化ツールを使って複数のアカウントに対して連続的に試行します。
- パスワードが一致したアカウントに不正ログインします。
パスワードスプレー攻撃の被害
- アカウントの乗っ取り
- 個人情報や機密情報の漏洩
- 金銭的な損失
- システムの停止
- 企業の評判低下
パスワードスプレー攻撃の対策
パスワードスプレー攻撃を防ぐためには、以下の対策が必要です。
- 各サービスごとに強固でユニークなパスワードを設定し、パスワード管理ツールを使用する。
- 二段階認証を導入する。
- アカウントロックアウト機能を有効にする。
- 従業員へのセキュリティ教育を行い、フィッシング攻撃やソーシャルエンジニアリング技術に対する警戒を含める。
パスワードスプレー攻撃は、比較的簡単に実行できる攻撃です。しかし、上記の対策を講じることで、被害を防ぐことができます。
ファイルレスマルウェア
ファイルレスマルウェアとは、悪意のあるソフトウェアやファイルを使用せず、コンピューターに標準で組み込まれているソフトウェアを使用して攻撃を行うマルウェアです。
ファイルレスマルウェアは、コンピューターに侵入せず、痕跡を残さずに攻撃を仕掛けることができます。攻撃者は、Windows OS、macOS、iOS、Android OSなどのコンピューターのOSが持つスクリプト(命令)を使用し、OSを制御するツールを使って攻撃を仕掛けます。
ファイルレスマルウェアは、ディスクには痕跡を残さず、メモリ内にだけ常駐して、攻撃を実行します。ファイルレスマルウェアは、ウイルス対策ソフトのスキャンや防御をすり抜けてしまうため、非常に危険です。ファイルレスマルウェアの例としては、SQLSlammerワームやブラウザの脆弱性からのランサムウェア感染などがあります。
パストラバーサル
パストラバーサルとは、ウェブアプリケーションの脆弱性の一種で、不正な入力によってファイルシステム上の任意のファイルにアクセスできるようになる攻撃手法です。例えば、ウェブサイトのURLに「../」という文字列を繰り返し入力することで、ウェブサーバーのルートディレクトリより上位のディレクトリに移動できる場合があります。このようにして、機密情報やシステム設定などを読み取ったり、改ざんしたりすることができます。
パストラバーサルの対策としては、以下のような方法があります。
– 入力値の検証:ユーザーからの入力値に対して、不正な文字列やパターンをチェックし、フィルタリングやエスケープを行います。
– ファイルアクセスの制限:ウェブアプリケーションがアクセスできるファイルやディレクトリを限定し、それ以外のパスへのアクセスを拒否します。
– エラーメッセージの隠蔽:パストラバーサル攻撃者は、エラーメッセージからシステムの情報を推測することがあります。そのため、エラーメッセージは一般的なものにして、詳細な情報を隠します。
パストラバーサルは、ウェブアプリケーションのセキュリティにおいて重要な問題です。開発者や管理者は、常に最新の知識やツールを使って、パストラバーサルの危険性を低減させる必要があります。
マッシュアップ(Mashup)
他サイトで公開されているWebサービスのAPIを組み合わせて一つの新しいWebサービスのように機能させること。
マルチベクトル型DDoS攻撃
複数のDDoS攻撃手法を組み合わせて標的のサービス停止を狙う攻撃。
メールヘッダインジェクション
メールヘッダインジェクションは、ウェブサイトのお問い合わせフォームなどでメールを送信する際に、攻撃者が不正な情報をメールヘッダに挿入するセキュリティ脆弱性です。具体的には、メールの件名や宛先情報などのヘッダに不正なデータを挿入することができます。これにより、攻撃者は偽のメールを送信し、ユーザーやシステムに悪影響を及ぼす可能性があります。
メールヘッダインジェクション攻撃は、特にウェブサイトのフォームからメールを送信する機能に関連しています。攻撃者はこの脆弱性を悪用して、スパムメールの送信やフィッシング詐欺などの攻撃を行うことがあります。
この脆弱性を防ぐためには、適切な入力検証とエスケープ処理を実施し、ユーザーが不正なデータを挿入できないように対策を講じる必要があります。
ルートキット(rootkit)
システムへのアクセスを確保した攻撃者が、その後の不正な活動を行いやすくするために作動中のプロセスやファイル、ログやシステムデータを隠ぺいするためのソフトウェア群。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)とは、Webアプリケーションに悪意のあるスクリプトを埋め込まれる脆弱性のことです。通称、XSSと呼ばれ、クロスサイトスクリプティング攻撃を受けると、ユーザーがなりすましの被害に遭ったり、偽のページを表示されたりする可能性があります。
XSSには大きく分けて以下の3種類があります。
– **反射型XSS**:リクエストを実行したユーザーにスクリプトが戻されることから「反射型XSS」と呼ばれる。いわゆる基本的なクロスサイトスクリプティングの手法である。攻撃者は偽メールや偽サイトに不正なスクリプトを含んだリンクを用意し、ユーザーを脆弱性のあるWebサイトへ誘導し、ユーザーのWebブラウザー上で不正なスクリプトを実行させることで、個人情報やCookieなどの窃取を試みる。
– **格納型XSS**:格納型XSSでは、攻撃者があらかじめWebサイトに直接スクリプトを格納する。ユーザーが当該ページにアクセスするだけで攻撃できてしまうため、反射型XSSのように罠を仕掛けたWebサイトを別途用意せずとも攻撃が可能だ。
– **DOMベースXSS**:DOM(Document Object Model)とは、HTMLやXMLを取り扱うためのAPIやデータ構造を定義したものである。JavaScriptのスクリプトに存在する脆弱性を悪用した攻撃で、サーバー側ではなく、クライアントのWebブラウザー上にて攻撃用の不正なスクリプトが実行される。
XSSへの対策としては、以下のような方法があります 。
– セキュリティサービスWAF(Web Application Firewall)を導入し防御する
– Webアプリケーション側でエスケープ処理やサニタイジング(危険な文字を無害な文字に置き換える処理)を行う
– 動作環境(ブラウザやJavaScriptライブラリなど)を常に最新に保つ
– URLを出力する場合にはhttpやhttpsで始まるもののみを許可する
– 入力値を制限する