情報処理安全確保支援士 用語集

AACS 【Advanced Access Content System】
Aレコード
CASB(Cloud Access Security Broker)
CRYPTREC暗号リスト
CVE(Common Vulnerabilities and Exposures)識別子
CVSS （ Common Vulnerability Scoring System)
DKIM(DomainKeys Identified Mail)
DNSキャッシュポイズニング
ダイナミックDNS
EDSA認証
Enhanced Open
FQDN(Fully Qualified Domain Name)
HMAC
IDS
NFV(Network Functions Virtualisation）
NOTICE（National Operation Towards IoT Clean Environment）
OCSP(Online Certificate Status Protocol
OSコマンドインジェクション
Pass the Hash攻撃
PQC(post-Quantum Cryptography)
postメソッド
SNMP(Simple Network Management Protocol)
SQLインジェクション
サーバーメッセージブロック
TLS
Network Attached Strorage
VXLAN
webshell
暗号スイート【cipher suite】サイファースイート
ウェルノウンポート
カミンスキー攻撃
クエリ文字
クロスサイトリクエストフォージェリ(CSRF)
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
テスト駆動開発(TDD：Test-Driven Development)
テンペスト攻撃
トランザクション署名
トランザクション
ファイルレスマルウェア
パストラバーサル
マッシュアップ(Mashup)
マルチベクトル型DDoS攻撃
メールヘッダインジェクション
ルートキット(rootkit)
クロスサイトスクリプティング（XSS）

AACS 【Advanced Access Content System】

AACSとは、Blu-ray Discで採用されている著作権保護のための映像・音声データのコピープロテクト技術。販売・レンタルされる映像ソフトやデジタル放送の録画などを違法コピーから守るために用いられる。

Aレコード

Aレコードとは、DNSレコードの一種で、特定のドメイン名に対応するIPアドレスを定義するものです。Aレコードは、ドメイン名を特定のIPアドレスに向けるために使用されます[1][2][3][6][8]。Aレコードは、DNSレコードの最も基本的なタイプで、ユーザーがあなたのドメイン名にアクセスするときに、どのIPアドレスに接続するかを指定します[8]。Aレコードは、IPv4アドレスのみを保持します[6]。Aレコードは、DNSの設定に不可欠であり、DNSサーバーの仕組みについて理解する必要があります[8]。

Citations:
[1] https://e-words.jp/w/A%E3%83%AC%E3%82%B3%E3%83%BC%E3%83%89.html
[2] https://hp-shizuoka.jp/column/2016/10/7515/
[3] https://www.value-domain.com/media/a-record/
[4] https://help.onamae.com/answer/7883
[5] https://wa3.i-3-i.info/word12288.html
[6] https://www.cloudflare.com/ja-jp/learning/dns/dns-records/dns-a-record/
[7] https://support.yahoo-net.jp/PccDomains/s/article/H000006221
[8] https://powerdmarc.com/ja/what-is-a-dns-a-record/

CASB(Cloud Access Security Broker)

利用者とクラウドサービスプロバイダとの間に単一のコントロールポイントを設けて、クラウドサービス利用の「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を提供する仕組み。

CRYPTREC暗号リスト

暗号技術検討会及び関連委員会(CRYPTREC)により電子政府での使用に際しての安全性及び実装性能が確認された暗号のリスト。

CVE(Common Vulnerabilities and Exposures)識別子

米国MITRE社が管理運営を行っている、一般公表されている公知の脆弱性情報を掲載している脆弱性情報辞書(データベース)。

CVSS （ Common Vulnerability Scoring System)

情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会（ NIAC: National Infrastructure Advisory Council ）のプロジェクトで 2004年10月に原案が作成されました。

情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。

共通脆弱性評価システムCVSS概説

DKIM(DomainKeys Identified Mail)

送信する電子メールにディジタル署名を付加し、受信側で発信元DNSサーバに登録されている公開鍵を使用しディジタル署名の確認を行うことで発信元メールサーバの正当性を検証する仕組み。

DNSキャッシュポイズニング

DNSキャッシュサーバに偽のDNS応答を送信してキャッシュさせ、偽サイトに誘導する攻撃のことをDNSキャッシュポイズニング攻撃といいます。

ダイナミックDNS

ダイナミックDNSとは、インターネットに接続されたコンピュータや機器のIPアドレスが変わっても、常に同じドメイン名でアクセスできるようにする仕組みです。例えば、自宅のパソコンやカメラをインターネットに公開したい場合、固定IPアドレスを取得する必要がありますが、それには費用がかかります。ダイナミックDNSを利用すれば、固定IPアドレスを持たなくても、自分の好きなドメイン名で自宅の機器にアクセスできます。ダイナミックDNSを使うには、まずダイナミックDNSサービスの提供者に登録し、ドメイン名を取得します。次に、自宅のルーターやパソコンにダイナミックDNSクライアントと呼ばれるソフトウェアをインストールします。このソフトウェアは、自分のIPアドレスが変わったときに、ダイナミックDNSサービスのサーバーに通知して、ドメイン名とIPアドレスの対応を更新します。これで、インターネットから自分のドメイン名で自宅の機器にアクセスできるようになります。ダイナミックDNSは、自宅サーバーの運用やリモートアクセスなどに便利な技術です。しかし、セキュリティや法律の面でも注意が必要です。自分の機器をインターネットに公開するということは、攻撃や不正アクセスのリスクも高まるということです。また、著作権やプライバシーなどの法律も遵守しなければなりません。ダイナミックDNSを利用する際は、常に最新のセキュリティ対策を行い、法的な責任を理解しておく必要があります。

EDSA認証

組込み機器のセキュリティ保証に関する認証制度。

Enhanced Open

RFC 8110に基づいたものであり，公衆無線LANなどでパスフレーズなどでの認証なしに，端末とアクセスポイントとの間の無線通信を暗号化するもの

FQDN(Fully Qualified Domain Name)

DNS（Domain Name System）などのホスト名、ドメイン名（サブドメイン名）などすべてを省略せずに指定した記述形式のこと。例えば、「www.atmarkit.co.jp.」はホスト名「www」とドメイン名「atmarkit.co.jp」をすべて揃えたFQDNである。

FQDN

HMAC

HMACとは、Hash Based Message Authentication Codeの略で、公開鍵、秘密鍵、ハッシュを組み合わせることで、ハッカーが情報を解凍できないようにするメッセージ認証の暗号化技術の1つ。

IDS

Intrusion Detection Systemの略で「侵入検知システム」とも呼ばれる。ネットワーク上を流れるパケットを監視したり、サーバー上の受信データやログを調べたりして、何らかの不正侵入の兆候が確認できた場合に、管理者へ警告メールを通知するなどのアクションを起こすシステム。管理者は実際の被害に先立って警戒でき、必要であれば回線切断などの防衛策を講じることができ、システムの破壊などを未然に防止できる。

IDS

NFV(Network Functions Virtualisation）

仮想化技術を利用して、従来はルータ、スイッチ、ファイアウォール、ロードバランサなどの専用機器で行われていた機能を、汎用サーバ内の仮想マシン上で動くソフトウェアとして実装するアーキテクチャ。

NOTICE（National Operation Towards IoT Clean Environment）

総務省、国立研究開発法人情報通信研究機構（NICT）及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組。

OCSP(Online Certificate Status Protocol

リアルタイムでディジタル証明書の失効情報を検証し、有効性を確認するプロトコル。

OSコマンドインジェクション

OSコマンドインジェクションとは、外部からの入力をそのままOSのコマンドとして実行してしまう脆弱性のことです。例えば、Webアプリケーションでファイル名を入力するフォームがあったとします。このフォームに「test.txt; rm -rf /」という文字列を入力したら、OSは「test.txt」というファイルを探すだけでなく、「rm -rf /」というコマンドも実行してしまいます。これにより、システムの全てのファイルが削除される可能性があります。

OSコマンドインジェクションを防ぐには、外部からの入力を信用せず、適切に検証やエスケープを行う必要があります。また、OSのコマンドを実行する必要がない場合は、そもそも実行しないようにすることも重要です。OSコマンドインジェクションは、深刻な被害をもたらす可能性が高いので、開発者は常に注意して対策を講じるべきです。

Pass the Hash攻撃

Pass-the-Hashでは、攻撃者は、様々な方法やツールを用いて有効なユーザ名とユーザパスワードのハッシュ値を取得する。その後、その情報を用いて、LM認証やNTLM認証を用いてリモートサーバやサービスを認証することで正規のユーザになりすまして攻撃を行う。

PQC(post-Quantum Cryptography)

従来のコンピューターを使って暗号化や復号ができるが、将来の量子コンピューターによる攻撃に耐えられる、新しい種類の暗号化の方法。

postメソッド

postメソッドとは、HTTPプロトコルでサーバーにデータを送信する方法の一つです。postメソッドは、主にフォームの入力内容やファイルのアップロードなどに使われます。postメソッドの特徴は、以下のようになります。

– データはリクエストボディに含まれるため、URLには表示されません。
– データのサイズに制限がありません。
– GETメソッドと比べて、セキュリティが高いと言えます。

postメソッドを使う場合は、HTMLのformタグのmethod属性に”post”を指定します。また、送信するデータはinputタグやtextareaタグなどで指定します。例えば、以下のようなコードで、名前とメールアドレスを送信することができます。

このように、postメソッドはサーバーにデータを送信する際に便利な方法です。ただし、postメソッドだけではデータの安全性を保証できません。例えば、中間者攻撃や偽装リクエストなどに対しては、HTTPSやトークンなどの対策が必要です。postメソッドを使う際は、セキュリティにも注意しましょう。

html
<form method=”post” action=”https://example.com/post.php”>
<p>名前: <input type=”text” name=”name”></p>
<p>メールアドレス: <input type=”email” name=”email”></p>
<p><input type=”submit” value=”送信”></p>
</form>

SNMP(Simple Network Management Protocol)

TCP/IPネットワーク上でネットワーク上の機器の情報を収集して、監視や制御を行うためのプロトコル。

SQLインジェクション

SQLインジェクションとは、Webアプリケーションの脆弱性を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。

SQLインジェクションの目的は、データベースから情報を不正に取得したり、データベースを改ざんしたり、データベースを破壊したりすることである。

サーバーメッセージブロック

サーバーメッセージブロックとは、ネットワーク上でファイルやプリンタなどのリソースを共有するためのプロトコルです。サーバーメッセージブロックは、WindowsやLinuxなどのオペレーティングシステムに対応しており、異なる種類のコンピュータ間でデータのやり取りを可能にします。サーバーメッセージブロックは、TCP/IPやNetBEUIなどの下位層のプロトコルに依存せずに動作します。サーバーメッセージブロックは、SMBとも呼ばれ、CIFS（Common Internet File System）という名称で拡張されたバージョンもあります。

TLS

インターネットなどのTCP/IPネットワークでデータを暗号化して送受信するプロトコル（通信手順）の一つ。データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる。SSLの後継規格。

Network Attached Strorage

Network Attached Storageとは、ネットワークに接続されたストレージデバイスのことです。ネットワーク上の複数のコンピューターやデバイスからファイルを共有したり、バックアップしたりすることができます。Network Attached Storageは、一般的には専用のサーバーとして機能する小型のボックスに入ったハードディスクやSSDなどの記憶装置から構成されます。Network Attached Storageは、ローカルエリアネットワーク（LAN）やインターネットに接続されており、特定のIPアドレスやポート番号を持ちます。Network Attached Storageの利点は、データのセキュリティやアクセス制御を高めることや、ストレージ容量を柔軟に拡張することができることなどが挙げられます。Network Attached Storageは、個人や家庭だけでなく、ビジネスや教育などの分野でも広く利用されています。

VXLAN

VXLAN（Virtual eXtensible Local Area Network）とは、L3ネットワーク上に論理的なL2ネットワークを構築するトンネリングプロトコルのことです。VXLANでは、VXLAN IDを使用してイーサネットフレームをカプセル化することでトンネリングを実現しています。2014/8 にIETF RFC7348として公開されています。

webshell

webshellとは、ウェブサーバー上にアップロードされたスクリプトファイルのことです。このスクリプトファイルを通じて、攻撃者はウェブサーバーの管理権限を奪ったり、機密情報を盗んだり、他のサーバーに侵入したりすることができます。webshellはPHPやASPなどのウェブ開発言語で書かれており、ウェブサーバーの設定やファイルシステムにアクセスできるようになっています。webshellは一般的に、脆弱性のあるウェブアプリケーションを利用してアップロードされます。例えば、ファイルアップロード機能やSQLインジェクションなどの攻撃手法が使われます。webshellはサイバー犯罪やサイバー戦争の重要なツールとなっており、ウェブサーバーのセキュリティを高めることが必要です。

暗号スイート【cipher suite】サイファースイート

暗号スイートとは、様々な手段や方式を組み合わせた暗号通信システムにおいて、暗号アルゴリズムやハッシュ関数、鍵長などの設定の組み合わせ。通信を開始する際にどの暗号スイートを利用するか交渉を行い合意する必要がある。

ウェルノウンポート

TCP/IPで使用されるポート番号のうち、0から1023までの範囲に割り当てられたポート番号のこと

カミンスキー攻撃

DNSキャッシュポイズニング攻撃の1つで、キャッシュに存在しないサブドメインへのDNSクエリ発行を利用して、攻撃を従来より効率良く成立させる手法。

クエリ文字

クエリ文字とは、ウェブサイトのURLに含まれるパラメーターのことです。例えば、https://www.bing.com/search?q=クエリ文字とはというURLでは、q=クエリ文字とはがクエリ文字になります。クエリ文字は、ウェブサーバーに対して特定の情報や要求を伝えるために使われます。クエリ文字の形式は、?で始まり、&で区切られたキーと値の組み合わせで構成されます。キーと値は=でつながります。例えば、q=クエリ文字とはでは、qがキーで、クエリ文字とはが値です。クエリ文字を使うことで、ウェブサイトの機能や表示内容をカスタマイズしたり、検索結果やページネーションなどを実現したりできます。

クロスサイトリクエストフォージェリ(CSRF)

Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。

クロスサイトリクエストフォージェリ（CSRF）

サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)

経済産業省では、サイバー空間とフィジカル空間を高度に融合させることにより実現される「Society5.0」、様々なつながりによって新たな付加価値を創出する「Connected Industries」における新たなサプライチェーン（バリュークリエイションプロセス）全体のサイバーセキュリティ確保を目的として、産業に求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク」を策定しました。

指定されたページまたはファイルは存在しません（METI/経済産業省）

テスト駆動開発(TDD：Test-Driven Development)

XPの基本となる12のプラクティスのうちの1つで、求める機能を明確化するために、プログラムを記述するよりも前にテストコードを作成する開発手法。

テンペスト攻撃

モニタやキーボード、ネットワークケーブルなどから放射されている微弱な電磁波を傍受し解析することで元の情報の再現を試みる攻撃手法。

トランザクション署名

インターネットバンキングの乗っ取り、金融詐欺に効果的なワンタイムパスワードトークンを使用した認証方法になり、インターネットバンキングで行った取引(トランザクション)が改ざんされていないかを認証してから取引できるような仕組み。

トランザクション

トランザクションとは、主にデータベースなどにおいて使われる用語で、「複数の処理を一つの処理としてまとめたもの」のことを指します。

ファイルレスマルウェア

ファイルレスマルウェアとは、悪意のあるソフトウェアやファイルを使用せず、コンピューターに標準で組み込まれているソフトウェアを使用して攻撃を行うマルウェアです。
ファイルレスマルウェアは、コンピューターに侵入せず、痕跡を残さずに攻撃を仕掛けることができます。攻撃者は、Windows OS、macOS、iOS、Android OSなどのコンピューターのOSが持つスクリプト（命令）を使用し、OSを制御するツールを使って攻撃を仕掛けます。
ファイルレスマルウェアは、ディスクには痕跡を残さず、メモリ内にだけ常駐して、攻撃を実行します。ファイルレスマルウェアは、ウイルス対策ソフトのスキャンや防御をすり抜けてしまうため、非常に危険です。ファイルレスマルウェアの例としては、SQLSlammerワームやブラウザの脆弱性からのランサムウェア感染などがあります。

パストラバーサル

パストラバーサルとは、ウェブアプリケーションの脆弱性の一種で、不正な入力によってファイルシステム上の任意のファイルにアクセスできるようになる攻撃手法です。例えば、ウェブサイトのURLに「../」という文字列を繰り返し入力することで、ウェブサーバーのルートディレクトリより上位のディレクトリに移動できる場合があります。このようにして、機密情報やシステム設定などを読み取ったり、改ざんしたりすることができます。

パストラバーサルの対策としては、以下のような方法があります。

– 入力値の検証：ユーザーからの入力値に対して、不正な文字列やパターンをチェックし、フィルタリングやエスケープを行います。
– ファイルアクセスの制限：ウェブアプリケーションがアクセスできるファイルやディレクトリを限定し、それ以外のパスへのアクセスを拒否します。
– エラーメッセージの隠蔽：パストラバーサル攻撃者は、エラーメッセージからシステムの情報を推測することがあります。そのため、エラーメッセージは一般的なものにして、詳細な情報を隠します。

パストラバーサルは、ウェブアプリケーションのセキュリティにおいて重要な問題です。開発者や管理者は、常に最新の知識やツールを使って、パストラバーサルの危険性を低減させる必要があります。

マッシュアップ(Mashup)

他サイトで公開されているWebサービスのAPIを組み合わせて一つの新しいWebサービスのように機能させること。

マルチベクトル型DDoS攻撃

複数のDDoS攻撃手法を組み合わせて標的のサービス停止を狙う攻撃。

メールヘッダインジェクション

メールヘッダインジェクションは、ウェブサイトのお問い合わせフォームなどでメールを送信する際に、攻撃者が不正な情報をメールヘッダに挿入するセキュリティ脆弱性です。具体的には、メールの件名や宛先情報などのヘッダに不正なデータを挿入することができます。これにより、攻撃者は偽のメールを送信し、ユーザーやシステムに悪影響を及ぼす可能性があります。

メールヘッダインジェクション攻撃は、特にウェブサイトのフォームからメールを送信する機能に関連しています。攻撃者はこの脆弱性を悪用して、スパムメールの送信やフィッシング詐欺などの攻撃を行うことがあります。

この脆弱性を防ぐためには、適切な入力検証とエスケープ処理を実施し、ユーザーが不正なデータを挿入できないように対策を講じる必要があります。

ルートキット(rootkit)

システムへのアクセスを確保した攻撃者が、その後の不正な活動を行いやすくするために作動中のプロセスやファイル、ログやシステムデータを隠ぺいするためのソフトウェア群。

クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS）とは、Webアプリケーションに悪意のあるスクリプトを埋め込まれる脆弱性のことです。通称、XSSと呼ばれ、クロスサイトスクリプティング攻撃を受けると、ユーザーがなりすましの被害に遭ったり、偽のページを表示されたりする可能性があります。

XSSには大きく分けて以下の3種類があります。

– **反射型XSS**：リクエストを実行したユーザーにスクリプトが戻されることから「反射型XSS」と呼ばれる。いわゆる基本的なクロスサイトスクリプティングの手法である。攻撃者は偽メールや偽サイトに不正なスクリプトを含んだリンクを用意し、ユーザーを脆弱性のあるWebサイトへ誘導し、ユーザーのWebブラウザー上で不正なスクリプトを実行させることで、個人情報やCookieなどの窃取を試みる。
– **格納型XSS**：格納型XSSでは、攻撃者があらかじめWebサイトに直接スクリプトを格納する。ユーザーが当該ページにアクセスするだけで攻撃できてしまうため、反射型XSSのように罠を仕掛けたWebサイトを別途用意せずとも攻撃が可能だ。
– **DOMベースXSS**：DOM（Document Object Model）とは、HTMLやXMLを取り扱うためのAPIやデータ構造を定義したものである。JavaScriptのスクリプトに存在する脆弱性を悪用した攻撃で、サーバー側ではなく、クライアントのWebブラウザー上にて攻撃用の不正なスクリプトが実行される。

XSSへの対策としては、以下のような方法があります。

– セキュリティサービスWAF（Web Application Firewall）を導入し防御する
– Webアプリケーション側でエスケープ処理やサニタイジング（危険な文字を無害な文字に置き換える処理）を行う
– 動作環境（ブラウザやJavaScriptライブラリなど）を常に最新に保つ
– URLを出力する場合にはhttpやhttpsで始まるもののみを許可する
– 入力値を制限する