IPアドレス:デフォルトゲートウェイ
そのサブネットの未使用IP(192.168.50.0/24 など)
IPアドレス:DHCPが使用できないとき
IP自動設定(APIPA:Automatic Private IP Addressing )169.254.x.x
IPアドレス:ブロードキャスト
255.255.255.255
IPアドレス:ループバックアドレス
127.0.0.1
IPv6
フラグメンテーション行わない、128ビッドアドレス、ヘッダー固定、拡張ヘッダ8オクテット、ICMPv6=ARP機能
ICMP
IPの補完、エラー通知、伝送エラー通知 機能を持つ
ICMP:メッセージ:Redirect
別のルーターに送るべきパケットを受信したルータが、送信元に正しい経路を通知する
ICMP:メッセージ:Distination Unreachable
ルーティング失敗
ICMP:メッセージ:Time Exceeded
TTLがゼロになり、時間超過
ICMP:メッセージ:Parameter Prioblem
IPヘッダーに問題があったとき
SYNスキャン/ポートスキャン
ポートの開閉確認 開いている:SYN/ACK 閉じている:RST/ACK(または返ってこない)
PPP
Point-To-Point Protcol :電話回線を通じてコンピュータをネットワークに接続する(ダイアルアップ)
PPTP
Point-To-Point Tunnein Protcol VPN技術
MPLS
PPTPよりも高速な転送処理実現
PPPoE
PPP over Ethernet PPPを、イーサーネット上で実現
リンクローカルアドレス
DHCPが機能していないときノードが自ら割り当てるIPアドレス(APIPA:Automatic Private IP Addressing )169.254.x.x
DHCP DISCOVER / OFFER
DHCP接続要求(DHCP DISCOVER)→返答(DHCP OFFER) ※DHCP問合など自アドレスが不明なとき255.255.255.255
ARP / RARP
ARP:IPアドレス→MACアドレス RARP:MACアドレス→IPアドレス
スタブリゾルバ
コンピュータにあるプログラムで、DNSサーバーに問合せ、ドメイン名からIPアドレスを変換する
フルサービスリゾルバ
クライアントからのドメイン名解決要求に対して完全なドメイン名解決(IPアドレス)を提供する
オープンリゾルバ
DNS名前解決機能についてインターネット上のどの機器からも応答する状態(DOS踏台、DNSキャッシュポイズニングリスク)
VRRP
ルータの冗長化技術(複数ルータの一体化、仮想化)
Cache-Control : no-cache
HTTPヘッダーのキャッシュ動作指定:キャッシュ保存可、利用時サーバー変更有無確認
Cache-Control : no-store
HTTPヘッダーのキャッシュ動作指定:キャッシュ禁止
Cache-Control : private
HTTPヘッダーのキャッシュ動作指定:プライベートキャッシュのみ保存可
Cache-Control : public
HTTPヘッダーのキャッシュ動作指定:共有キャッシュにも保存可
Cache-Control : max-age
HTTPヘッダーのキャッシュ動作指定:キャッシュ有効期間(秒単位)
TFTP
ユーザー認証省略、UDPを用いる、簡素ファイル転送プロトコル
SFTP 、 FTPS
暗号化、セキュリティ強化されたファイル転送プロトコル
NTP 、SNTP
Network Time Protcol / Simple Network Time Protocol 時刻同期の為のプロトコル
RTP
RealTime Tranpote Protcol : 音声、動画等のデータストリームをリアルタイムに配信する為のプロトコル
RTCP
RealTime Tranpote Control Protcol :RTPのフロー制御
RTSP
RealTime Streaming Protcol :再生・早送り・停止など操作・管理(RTPと組み合わされることが多い)
SDP
Session Discription Protocol : ストリーミングメディアの初期化パラメータを記述
ポート:20、21
20:FTP、 21:FTP Control
ポート:22、23
22:SSH 、 23:Telnet
ポート:25、110、143、465、587
25:SMTP、110:POP3、143:IMAP、465:SMTP over TLS 、587:SMTP-AUTH
ネットワークタップ
ネットワーク機器であるスイッチやルータを接続するネットワークケーブルの信号を分岐させる装置
SIP
Session Initiation Protcol 2つ以上のクライアント間でセッションを確立するための汎用プロトコル
RIP
UDP/IP ルーティングプロトコル
IGMP
IPマルチキャストにおける、グループ制御
STP
スパニングツリープロトコル:ループ発生でパケットが永久に周回するのを防ぐために使用されるプロトコル
CSMA/CA
IEEE802.11シリーズ無線LANのアクセス制御方式
CSMA/CD
有線LANで使用されるアクセス制御方式
ルートポート / 代表ポート
ルート:経路先のポート 、 代表:ブリッジ側のポート
RSTP
Rappid Spaning tree Protcol スパニングツリープロトコルの改良版
AutomaticMDI/MDI-X
コネクタの送受信端子が正しい組み合わせになるように自動判別して切り替える
ブリッジ MACアドレス学習・転送機能
接続機器のアドレスを学習し、イーサネットフレームを該当するインターフェースにだけ転送する
スパニングツリープロトコル
通信経路のループを自動的に検出する
ANS.1
SNMP、SMIME、Krberosなどの設定を記述する言語
オートネゴシエーション
通信速度、通信モード(全二重/半二重)を自動的に設定する
MIME
日本語2バイトコードや、画像データを含むメール送信
POP3
メールサーバーから自身のメールを取り出す
ICMP Flood攻撃
Pingコマンドを用いて大量パケット発信・攻撃対象サーバーに至る回線を過負荷にしアクセス妨害=Smarf攻撃
Connection Flood 攻撃
大量TCPコネクションにて攻撃対象サーバーの接続を維持させ続けリソースを枯渇させる
HTTP Flood 攻撃
HTTP GETを繰り返し送り、攻撃対象サーバーに負荷をかける
SYN Flood 攻撃
SYNを大量に送り、応答を繰り返す過負荷をかける
UDP Flood 攻撃
サイズの大きいUDPパケット送付
メールボム
サイズの大きいメールを送付
DNSリフレクション攻撃
攻撃者が送信IPアドレスを偽装しDNSに大量リクエスト送信し、攻撃対象に大量のレスポンスを送りつける
マルチプラットフォーム型ウィルス
複数OSで動作するウィルス
ポリモーフィック型ウィルス
感染毎に鍵を変えてウィルスコードを暗号化しパターンで検知できなくする
ボット
インターネットを介して攻撃者がPCを遠隔操作する
C&Cサーバ
ボット化や、乗っ取ったサーバに対して、悪意ある指示を行うサーバー
ステルス型ウィルス
ルートキットを利用してウィルスを隠蔽する
パスワードリスト攻撃
パスワードを入手し使いまわされているID、パスを狙ってログインを試行する
辞書攻撃
IDを定め、人名や辞書を用いた組み合わせでパスワード生成し、ログインを試行する
類推攻撃
個人情報を聞き出して、パスワードを類推する
ブルートフォース攻撃
総当たり(パスワード総当たり)
リバースブルートフォース攻撃
パスワードを固定してIDを変化させる IDが毎回異なる為、認証エラー回数の制限値(3回など)超えが可能
パスワードスプレー
時刻、IPアドレスを変えながら、よく用いられるパスワードを複数利用者に同時に試す。
レインボー攻撃
パスワードと、ハッシュ値を管理するテーブルを用意して不正入手したハッシュからパスワードを解読する
Pass The Hash攻撃
クライアントのメモリに残された、パスワードのハッシュ値を盗み、不正ログインする
HTTPヘッダーインジェクション
HTTPヘッダーに改行コードなどを不正挿入し、不正ヘッダーや伝達記述をボディに挿入する
クロスサイトリクエストフォージェリ
スクリプトを通じて別サイトで意図しない操作を行わせる
クリックジャッキング、対策
Webページの全面に透明化した別のコンテンツを重ねて視覚的にだます。→対策:X-Frame-Options
MIMEスニッフィング、対策
サーバ:ブラウザやりとりファイルのMIMEタイプをブラウザが推定。XSSリスク有→対策:X-Content-Type-Options: nosniff
ドライブバイダウンロード攻撃
利用者がWebサイト閲覧時に利用者のPCに対し秘密裏に不正プログラムを転送させる
Poodle攻撃
SSL 3.0プロトコルの脆弱性を突く攻撃。パディング部分の前のデータを推測し、データ解読する
メールヘッダーインジェクション
Webサイトの問合せフォームなどを利用してメールヘッダーを不正に改ざんする攻撃
カミンスキー攻撃
キャッシュに存在しないサブドメインへのDNSクエリ。従来より高効率にキャッシュポイズニングを成立させる
BlueBorne
Bluetoothを悪用してデバイスの不正操作、情報窃取を行う
mirai
ネットワークカメラ、家庭用ルータ、スマート家電などIoT機器に感染してボット化する。Telnet→DDoS
ブットプリンティング
攻撃前に攻撃対象のPC、サーバー、ネットワークの情報を得る
APT攻撃
Advanced Persistent Threats :高度継続的脅威 特定の個人・組織に対して継続的に行われるサイバー攻撃
DRDoS攻撃
インターネット上に存在するマ シン群に通信を反射させて、大量のパケットを攻撃対 象に送信するDDoS攻撃
Model Inversion攻撃
モデル反転攻撃 機械学習済モデルの入出力から、訓練データを復元したりすること
Adversarial Examples攻撃
敵対的サンプル 人間の目には認識できない微細ノイズによって、AIを誤判定させる
Adaptively Chosen Message攻撃
適応的選択文書攻撃 攻撃者が文書に対し署名をさせた後に、そこで得た情報で別文書の署名を偽造する攻撃
鍵交換:RSA
クライアントとサーバーそれぞれの公開鍵でセッション鍵を交換する。名前リベスト・シャミア・エーデルマン
鍵交換:DH
双方が共通の秘密鍵を生成。Diffie-Hellman
鍵交換:ECDH
DHと同等安全性をより少ないビットで提供する
鍵交換:AES
共通鍵暗号方式 Advanced Encryption Standard 高度暗号技術の略
IMAP4
メールサーバーから自身のメールを取り出す。POP3と異なり、メールを選択できる
PQC
Post Quantum Cryptography 量子コンピュータを用いても安全性が保てる暗号方式
ショアのアルゴリズム
量子コンピュータを用いて効率的に素因数分解を行い、暗号を解読する
量子鍵配送
量子通信路を用いた、鍵配送
量子暗号
共通鍵暗号方式の一つで、複合に必要な鍵情報を光子を用いて配送する技術、理論的に第三者解読できない
OpenID
ひとつのIDで様々なWebサイトにログインできる仕組
XKMS
W3C標準 PKI(パブリックキーインフラ公開鍵基盤)の機能をWebサービスとして利用する為の仕様
XML Signature
XML文書にデジタル署名を埋め込むための標準仕様
SOAP
XMLベースのRPCプロトコル
SSO:SAML
認証連携方式 OASIS策定 異なるインターネットドメイン間でのユーザー認証を実現するXMLベースの標準規格
SSO:リバースプロキシ方式
すべての認証をリバースプロキシを介して行う
SSO:エージェント方式
認証を担当する「エージェント」が各アプリケーションにインストールされ、ユーザーの認証情報を管理する
SSO:代理認証方式
認証プロセスを「代理認証サーバー」が担う
SSO:ケルベロス認証方式
レムル:認証管理領域、プリンシバル:ホスト・PC、KDC:認証サーバ
FIDO
利用者認証に、スマートフォン、PCの生体認証を用いる(サーバーへの生体情報登録必要なし、ネット上に流れない)
FIDO uAF
パスワード不要
FIDO CTAP1
パスワード不要 2要素認証
FIDO CTAP2
パスワード不要 多要素認証
ブロック暗号 ECB
Electronic Codebook: 各ブロックを独立して暗号化。パターンが繰り返されやすい。
ブロック暗号 CBC
Cipher Block Chaining: 前の暗号ブロックとXORして暗号化。セキュリティ向上
ブロック暗号 CFB
Cipher Feedback: 前の暗号ブロックをフィードバックして暗号化
ブロック暗号 OFB
Output Feedback: 初期化ベクトルを使い、平文とXOR。並列処理が可能。
ブロック暗号 CTR
Counter: カウンタ値と平文をXOR。並列処理とランダムアクセスが可能。
MITRE ATT&CK
実際に観測されたサイバー攻撃における戦術や手法をまとめたフレームワーク
VA(Varidation Authority)
検証 失効状態を問い合わせ
RA(Resistration Authority)
登録 デジタル証明書の発行指示
CA(Certificate Authority)
証明書 デジタル証明書に署名付与する
AA(Attribute Authority)
属性 属性証明書の発行を代行する
EV証明書
ドメイン+企業実在+所在地を証明する(最も厳密)
企業証明書(CV)
サーバー証明+企業の実在
ドメイン証明書(DV)
サーバー証明+ドメインの所有の証明
CP/CPS
CP:認証局の運用、信頼性、安全性を対外に示す。CPS:認証局の運用規定
OCSP
証明書が失効していないか即座に確認する
MAC
メッセージ認証符号:メッセージと共通鍵で生成される固定長ビット列。メッセージ認証、完全性確認に利用
衝突発見困難性
ハッシュ値が一致する2つのメッセージを探索することが困難
第二原像計算困難性
既知のメッセージに対するハッシュ値から同じハッシュとなる別のメッセージを探索することが困難
原像発見困難性
ハッシュ値から元のメッセージを探索することは困難
前方秘匿性
鍵交換に使った秘密鍵が漏洩したとしても、それより以前の暗号文は解読されない性質のこと
共通鍵数の求め方
n×(n-1)/2
公開鍵数の求め方
2n
ダークネット
インターネットで到達可能で未使用のIPアドレス(不正活動パケットに使われる。マルウェア活動観測)
エクスプロイトコード
本来は脆弱性の検証ツール→悪意あるプログラムスクリプト
RADIUS
リモートアクセス環境の認証やアカウンティングのやり取りプロトコル
RADIUSなどAAAフレームワーク
Authentication:認証 Authorization:認可・権限 Accounting:課金
X509 (ITU-T X509)
デジタル証明書、失効リストの技術仕様
フォールスネガティブ/ポジティブ
ネガティブ:悪意ある→害がないと判断、ポジティブ:悪意ない→害があると判断
SSIDステルス
アクセスポイントの識別子を知っている利用者だけに接続許可
プライバシセパレータ
同じアクセスポイントに接続している機器同士の通信を禁止する
MACアドレスフィルタリング
事前に登録されたMACアドレスを持つ機器のみ接続許可
Aレコード
DNS ドメイン名とIPアドレスを結びつける
MXレコード
DNS メールサーバーを指定する
NSレコード
DNS ネームサーバーを指定する
CNAMEレコード
DNS ホスト名に別名(エイリアス)を設定する
CAAレコード
DNS ドメインに対する証明書発行を承認された認証局コモンネームを指定。意図しない認証局から不正発行防止
SOAレコード
DNS ゾーン転送管理情報
ダイナミックパケットフィルタリング
内部から発信されたパケットに対する応答パケットを識別して動的にルールを適用して通過を許可する
ステートフルインスペクション
F/Wの一つで、TCP・UDPの情報を追跡し、戻り通信を動的に許可する。
アプリケーションゲートウェイ
クライアントからの通信を目的のサーバに中継する際に不正データがないか検査する
WAF(Web Application Firewall)
セキュリティに重点を置いて、SQLインジェクション、XSS等Web攻撃を検出し防御する
サーキットレベルゲートウェイ
F/Wの一つで、TCP・UDPセッションを監視し、送信元先のIPアドレスを動的に置き換えアドレスを隠蔽する
IDS / IPS
IDS:侵入検知システム IPS:侵入防止システム
シグニチャ型/アノマリ型
シグニチャ:攻撃パターンをDB化し実動作を比較 アノマリ:正常/異常の閾値を設定、異常値を検知する
CASB
Cloud Access Security Broker クラウドサービス利用の可視化(組織未許可のクラウド利用者発見)
ビヘイビア法
ウィルス感染・発病によって生じる異常を監視して検出する。 ビヘイビア=ふるまい
チェックサム法
ウィルスに感染していないことを保証する情報を付加する
パターンマッチング法
特徴的コードパターンと比較
コンペア法
安全保管原本と比較して異なっていれば感染
TPM
Trusted Platform Module (Trustedは信頼できる)セキュリティ特化の暗号化モジュール マザーボード等に実装される
NAPT
F/Wで、IPアドレス、ポートを別のアドレスに置き換える
WPA3-Enterprise
認証にIEEE802.1xを用いる。クライアントーアクセスポイントー認証サーバー間認証やりとり、一定時間暗号鍵変更
IEEE802.1x 認証構成
PC(サプリカント)ーAP(オーセンティケータ/RADIUSクライアント)ー認証サーバ(RADIUSサーバ)
EAP-TLS
デジタル署名によるサーバークライアント間の相互認証(USBキー、ICカードなど)
EAP-TTLS
TLS認証後、TLSセキュア伝送路でクライアント認証(ワンタイムパスワードなど)
PEAP
TLS認証後、TLSセキュア伝送路でID,パスワードでクライアント認証
EAP-MD5
チャレンジレスポンスでクライアント認証
EAP-FIRST
TTLSとほぼ同じだが、無認証モードがある
PAP
PPP ID、パス平文認証
PPTP
Point-To-Point Tunnein Protcol VPN技術
CHAP
チャレンジレスポンス
TLS
トランポート層の暗号化、改ざん検出、ノード認証などのプロトコル
DTLS
UDPなど、軽量・不安定な通信の上でセキュリティを実現するためのトランスポート層のプロトコル
SSL/TLS
ブラウザーWebサイト間の中間者攻撃による漏洩、改ざんを防止、サーバー証明書にて偽サイト見分けを容易にする
SSL2.0、3.0
ダウングレード攻撃:SSL2.0、3.0の使用を強制(ダウングレード)SSL2.0の脆弱性をついて通信を解読
SHA1-1 , 2 , 3
ハッシュ関数 改ざん検知に利用
暗号スイート
SSL/TLS通信で使われる暗号アルゴリズムの組み合わせです(暗号化とハッシュ関数の組み合わせ)
HSTS
Webのセキュリティ強化のためのHTTPヘッダー HTTPSへ自動的にリダイレクト
OAuth
Webサーバーのリソースを利用者に代わって他のサーバーがアクセス許可する認証プロトコル
Cookie Secure
HTTPSのときのみブラウザ→サーバーへCookieが送信できる
Cookie Domain
指定ドメインのときのみブラウザ→サーバーへCookieが送信できる
Cookie Path
指定URLのときのみブラウザ→サーバーへCookieが送信できる
Cookie Expire
期限内のみブラウザ→サーバーへCookieが送信できる
Cookie HTTPonly
JavascriptからCookieアクセスできなくなる
Cookie Samsite
ドメインを跨ぐCookie送信を防ぐ
Prepared Statement
Javaのデータベース操作用インターフェース Prepared(事前準備された)SQLパラメータバインドが可能
SOAR
Security Orchestration, Automation and Response セキュリティ運用効率化・自動化を実現するための技術
SPF
メール伝送路などから送信元を得て、送信元のIPを検証する
SMTP-AUTH
メールサーバー認証できたときのみメール送信できる。 別ポート利用:587
OP25B
内部→外部への25番ポートSMTP接続の禁止
POP before SMTP
POP認証済のときのみ送信できる
DKIM
送信メールサーバーがメールに署名を付与し受信サーバーがそれを検証する
PGP
Pretty Good Privacy 公開鍵暗号を使用し、メールの暗号化、改ざん検出、認証を行うプログラム
S/MIME
公開鍵暗号を使用し、メールの暗号化、改ざん検出、認証を行うプログラム(PGPと同様機能)
STMP over TLS
TLS確立された安全伝送路でのメール送受信
IMAPS
IMAP over SSL/TLS 認証や、本文など、IMAP通信のすべてをTLSによって暗号化する
DMARC
SPFまたはDKIMで不正なメールと判断された場合にそのメールの扱いをどうするかを決める
SMTPコマンド HELO
接続の為のコマンド 暗号化されていないことが多く盗聴リスクあり ⇔ EHLO(ESMTP)暗号化
SMTPコマンド MAIL FROM
送信者のメールアドレス スパムに悪用されることがる、SPF、DKIMで送信者の正当性検証を推奨
SMTPコマンド RCPT TO
受信者のメールアドレス スパムのターゲットにされる DMARCでメールの扱いを管理する
SMTPコマンド DATA
メール本文ヘッダー TLSで暗号化推奨
SMTPコマンド VRFY
ユーザー(メールアドレス)の存在確認 但し有効アドレスの探索に使われる。無効化されていることが多い
SMTPコマンド START TLS
暗号化コマンド
SMTPコマンド AUTH
SMTP-AUTHで認証を行うコマンド
IPSec暗号化範囲(トランスポートモード)
TCPヘッダ、データが暗号化される。 オリジナルのIPヘッダは暗号化されない
IPSec暗号化範囲(トンネルモード)
TCPヘッダ、データ、IPヘッダが暗号化される。IPヘッダ(AH、ESP)は新しいものが別途付与される
IPSec鍵交換プロトコルと、使用ポート
IKE(Internet Key Exchange)が使用され、ポートはUDP:500
IPSecESPヘッダー
ESP(Encapsluted Security Payload)は、認証と暗号化の機能を持つ。(Encapsluted=カプセルされた)
IPSecAH
AH(Authentication Header:認証ヘッダー)暗号化の機能はない。
SSH
公開鍵暗号認証技術を利用してリモートコンピュータと安全に通信するためのプロトコル(遠隔操作)
SSL-VPN装置
装置毎に固有のデジタル証明書を入れる。(独自証明書可、認証局任意指定可能)
DNSSEC
DNSの応答が改ざんされていないことをデジタル署名で確認、保証する
DNS over TLS
DNSの問合せ→応答を暗号化し改ざん防止する TLS利用
DNS over HTTPS
DNSの問合せ→応答を暗号化し改ざん防止する HTTPSでカプセル化する
FIPS PUB 140-3
暗号化モジュールのセキュリティ要求事項
EDSA認証
制御機器認証 デバイスの堅牢性を評価する、ロバストネス試験 がキーワード
CVSS
情報システムの脆弱性評価業界標準(基本評価、現状評価、環境評価)
SCAP
セキュリティ設定共通化(CVE、CCE、CPE、CWE)
JVN
日本 ソフト脆弱性情報提供ポータル(JPCERT、IPAの共同運営)
CPE
セキュリティ製品識別子 Pはプラットフォーム
CCE
セキュリティ項目識別子 Cはコンフィグ=環境パラメータ=項目
CVE
脆弱性識別子 Vは、Vulunerabilities=脆弱のこと
CWE
脆弱性タイプ種類の一覧(Common Weakness Enumeration)
ISO/IEC 15408
IT製品、情報システムのセキュリティ機能の適切性確実性について客観的に評価する基準
JIS Q 27014
情報セキュリティガバナンス枠組み
JIS Q 27017
クラウドサービス固有の情報セキュリティ管理策
JIS X 22301
事業継続マネジメント要求事項
NISC
内閣サイバーセキュリティセンター
CRYPTREC
安全性、実装性に優れていると判断された暗号技術のリスト決定
SIM3
Open CSIRT Foundation が策定したセキュリティマネジメント成熟モデル
CMMC
米国国防総省サイバーセキュリティ成熟度認定プログラム
SAMM
ソフトウェアセキュリティ対策を評価するフレームワーク
J-CSIP
IPAをハブとして各業界におけるサイバー攻撃の情報共有を行い対策につなげていく
ISMAPーLIU
リスクが少ないクラウドサービスの評価制度
NOTICE
グローバルIPアドレスをもつ、IoTききで、容易に推測できるパスワードをもつ機器を調査して利用者に注意喚起
ダイダロス
マルウェア感染のIoTから到達パケットを分析し、機器製造者に対策を促す
NICTによるテストベッド
不要ポート、パスワード設定漏れなどテストベッドを公開する
GoF
Gang of Four:オブジェクト指向プログラミングにおける再利用可能な設計ソリューション
AACS
ブルーレイ用コンテンツ保護技術
WMRM
マイクロソフトが開発したストリーミングコンテンツ保護技術
CPRM
BS、デジタル放送で使用。コピーワンス(一回だけ録画可能)。SDカードでも使われている。
CPPM
CPRMと同じだが、再生専用メディアに用いる
CSS
DVD映像コンテンツ暗号化
HDCP
HDMI経路の暗号化
DTCP-IP
接続機器同士の相互認証、コンテンツ保護可否を確認してから、録画再生する
MCCB
所謂、ブレーカーのこと
アレスタ
雷サージを制限して通信機器設備を保護する
IDF
中間配電盤
X
LINE
はてな
アプリ
QRコード
URLコピー