IT用語 ファイアウォール / Firewall / iptables
ファイアウォールは、ネットワークセキュリティシステムの一種で、信頼できる内部ネットワークと信頼できない外部ネットワーク(例えばインターネット)との間のトラフィックを監視し、制御する役割を果たします。ファイアウォールは、特定のルールに基づいて...
セキュリティ
IT用語 IT用語 AES / Advanced Encryption Standard
米政府機関が調達などの際に利用する暗号技術の標準として策定されたが、開発元の許諾や対価の支払いが必要な特許技術などを含まず、完全な仕様が公開され、誰でも自由に利用することができる。有効な攻撃手法は見つかっておらず、高い安全性を誇る。米政府関...
IT用語 DES / Data Encryption Standard
暗号化と復号に同じ暗号鍵を用いる共通鍵暗号(秘密鍵暗号)の一つで、データを64ビット単位に区切って処理するブロック暗号である。鍵長は56ビットだが、パリティチェック用の8ビットを加えた64ビットを鍵データとして管理する。暗号化の手順DESで...
IT用語 RSA / Rivest-Shamir-Adleman cryptosystem
概念としては知られていた公開鍵暗号の具体的な実装方式として世界で初めて発表されたもので、1977年にロナルド・リベスト(Ronald L. Rivest)氏、アディ・シャミア(Adi Shamir)氏、レオナルド・エーデルマン(Leonar...
IT用語 WAF / Web Application Firewall / Webアプリケーションファイアウォール
Webサーバ上で運用されるWebアプリケーションには保安上の弱点(脆弱性)が存在する場合があり、外部の攻撃者がこれを悪用して遠隔操作や秘密の情報の詐取などの不正アクセスを行う場合がある。本来はサーバ側のソフトウェアの監視や修正に努め、脆弱性...
IT用語 ハニーポット / honeypot
ハニーポットはインターネットなど誰でもアクセスできる場所に置かれ、接触してきた攻撃者や有害なソフトウェアの手口や振る舞いを観察したり、ウイルスやワームの「検体」を入手したり、別の重要なシステムから目をそらすための「おとり」として使われる。ハ...
セキュリティ 不正のトライアングル / Fraud Triangle
不正のトライアングル(Fraud Triangle)は、アメリカの犯罪学者ドナルド・R・クレッシー(Donald R. Cressey)が提唱した理論で、不正行為が発生するための3つの要素を示しています。この理論は、特に企業や組織内での不正...
セキュリティ ワンタイムパスワード / One-Time Password / OTP / 使い捨てパスワード
ワンタイムパスワード(OTP: One-Time Password)は、1回限り使用できるパスワードのことです。通常のパスワードとは異なり、使い捨てのため、セキュリティが非常に高い認証方法として広く利用されています。仕組みワンタイムパスワー...
IT用語 バックドア / Backdoor
バックドア(Backdoor)は、システムやアプリケーションに意図的に設けられた秘密のアクセス経路を指します。これにより、攻撃者や開発者が正規のユーザーの知らないうちにシステムに侵入することが可能になります。仕組みバックドアは、以下のような...
IT用語 スニッフィング / Sniffing / スニファリング / Sniffering
スニッフィング(Sniffing)は、ネットワーク上を流れるデータパケットを傍受・解析することで、通信内容を盗聴する攻撃手法です。攻撃者は、ネットワークトラフィックをモニタリングし、機密情報や認証情報などの重要なデータを不正に入手しようとし...
IT用語 ビジネスメール詐欺 / BEC / Business Email Compromise
ビジネスメール詐欺(BEC: Business Email Compromise)は、企業や組織を標的にしたサイバー犯罪の一種で、偽のビジネスメールを送りつけて金銭や機密情報を詐取する手口です。この詐欺は、特に企業の財務部門や経営者を狙い、...
IT用語 OP25B / Outbound Port 25 Blocking
OP25B(Outbound Port 25 Blocking)は、インターネットサービスプロバイダ(ISP)がスパムメールの送信を防ぐために導入する技術です。具体的には、SMTPプロトコルで使用される25番ポートをブロックすることで、許可...
IT用語 ドライブバイダウンロード / Drive-by Download / DBD攻撃
ドライブバイダウンロード(Drive-by Download)は、ユーザーがウェブサイトを訪れるだけでマルウェアが自動的にダウンロードされ、感染するサイバー攻撃の一種です。ユーザーは攻撃が行われていることに気づかず、ファイルをダウンロードし...
IT用語 CRL / Certificate Revocation List / 証明書失効リスト
CRL(Certificate Revocation List、証明書失効リスト)は、公開鍵基盤(PKI)において失効した電子証明書のリストです。電子証明書が何らかの理由で信頼できなくなった場合、その証明書を無効にするために使用されます。仕...
IT用語 辞書攻撃 / Dictionary Attack / ディクショナリアタック
辞書攻撃(Dictionary Attack)は、サイバー攻撃の一種で、あらかじめ用意された単語リスト(辞書)を使って、システムやアカウントのパスワードを総当たりで試行する手法です。仕組み辞書ファイルの準備: 攻撃者は、一般的に使われる単語...
IT用語 リバースブルートフォース攻撃 / Reverse Brute Force Attack / 逆総当たり攻撃 / 逆ブルートフォース攻撃
リバースブルートフォース攻撃は、サイバー攻撃の一種で、特定のパスワードを固定し、複数のユーザーIDに対して総当たりでログインを試みる手法です。通常のブルートフォース攻撃が特定のアカウントに対して複数のパスワードを試すのに対し、リバースブルー...
IT用語 総当たり攻撃 / Brute Force Attack / ブルートフォースアタック
ブルートフォース攻撃(Brute Force Attack)は、パスワードや暗号を解読するために、考えられるすべての組み合わせを試す攻撃手法です。攻撃者は、特定のアカウントにアクセスするために、可能な限り多くのパスワードを試行し、正しいパス...
IT用語 パスワードリスト攻撃 / クレデンシャルスタッフィング攻撃 / Credential Stuffing / リスト型アカウントハッキング
パスワードリスト攻撃は、攻撃者が事前に入手した大量のIDとパスワードのリストを使用して、対象のアカウントに不正アクセスを試みる攻撃手法です。この攻撃は、流出したパスワードのリストや、一般的によく使われるパスワードを集めたリストを利用します。...
IT用語 メールヘッダインジェクション / Email Injection
メールヘッダインジェクションは、Webアプリケーションの脆弱性を利用して、メールのヘッダ情報に不正なデータを挿入する攻撃手法です。攻撃者は、メールヘッダに改行文字や追加のヘッダフィールドを挿入することで、メールの送信先や内容を変更したり、ス...
IT用語 HTTPヘッダインジェクション / HTTP Header Injection
HTMLヘッダインジェクション(HTTP Header Injection)は、Webアプリケーションの脆弱性を利用して、HTTPレスポンスヘッダに不正な文字列を挿入する攻撃手法です。これにより、攻撃者はユーザーを偽のサイトにリダイレクトさ...
IT用語 OSコマンドインジェクション / OS Command Injection / コマンド注入攻撃
OSコマンドインジェクションは、Webアプリケーションの脆弱性を利用して、攻撃者が不正なOSコマンドを実行させるサイバー攻撃の一種です。これにより、攻撃者はシステム上で任意のコマンドを実行し、機密情報の漏洩やデータの改ざん、システムの乗っ取...
セキュリティ リスクファイナンス / Risk Finance
リスクファイナンスとは、企業が事業活動に伴うリスクを管理し、リスクが顕在化した際の経済的損失を緩和・抑止するための財務的手法を指します。これには、リスクの保有、移転、軽減、回避といった方法が含まれます。仕組みリスクファイナンスは、以下のプロ...
IT用語 DDoS攻撃 / Distributed Denial of Service Attack / 分散DoS攻撃
DDoS攻撃は、複数のコンピューターから同時に大量のリクエストを特定のサーバーやネットワークに送りつけることで、過剰な負荷をかけ、サービスを停止させる攻撃です。これにより、正当なユーザーがサービスを利用できなくなります。DDoS攻撃の仕組み...
IT用語 ボットウイルス / Bot Virus
ボットウイルスは、マルウェアの一種で、感染したコンピューターやデバイスを外部から遠隔操作できるようにするプログラムです。ボットウイルスに感染したデバイスは「ゾンビPC」と呼ばれ、攻撃者によってリモートで操作されます。ボットウイルスの特徴遠隔...