カミンスキー攻撃
DNSキャッシュポイズニング攻撃の1つで、キャッシュに存在しないサブドメインへのDNSクエリ発行を利用して、攻撃を従来より効率良く成立させる手法です
Detached Signature(デタッチ署名)
署名要素と署名対象要素が独立している場合の署名形式。(署名対象別のファイルである場合や同じXML文書内でも要素の親子関係がないときなど)
Enveloped Signature(エンベロープ署名)
署名要素が署名対象要素の子要素である場合の署名形式。(対象文書の中に署名が格納される)
Enveloping Signature(エンベローピング署名)
署名要素が署名対象要素の親要素である場合の署名形式。(署名の中に対象文書が格納される)
代表ポート
各セグメントからルートブリッジまでの一 番近道になるポート
ルートポート
各ブリッジからルート ブリッジに一番近道になるポート
トランクポート
トランクポートは、複数のVLANに割り当てられていて、複数のVLANのイーサネットフレームを転送できるポートです。トランクポートから送出されるフレームにはVLANを識別するためにVLANタグが付加されます。逆にVLANタグを持つフレームをトランクポートから受信した際にはVLANタグを外し、VLAN IDに応じた適切なポートからフレームを送出します
アクセスポート
アクセスポートは、1つのVLANに割り当てられているポートです
RLO(Right-to-Left Override)
文字の表示順を変える制御文字を利用し,ファイル名の拡張子を偽装する。
WebDAV(Web-based Distributed Authoring and Versioning)
HTTPを拡張して、サーバに対してクライアント側からの情報を書き込めるようにする技術のことです。HTTPを用いてファイルやフォルダの作成や削除、ファイル所有者や更新日時などの情報を取得・設定できるだけでなく、クライアント側で作成したファイルをWebサーバにアップロードすることも可能です。
OAuth2.0
異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワークです。簡単に言うと利用者本人の認可の下、サードパーティアプリケーションに対してWebサービス側からアクセストークン(委任状のようなもの)が発行され、サードパーティアプリケーションが利用者に代わり、それを使用してWebサービス(API)にアクセスできるようにする仕組みです。
DKIM(DomainKeys Identified Mail)
付加されたディジタル署名を受信側が検証する
EDSA(Embedded Device Security Assurance)
EDSA認証(制御機器認証)は、組込み機器のセキュリティ保証に関する認証制度です。PLC、フィールドセンサデバイス、SISコントローラ、DCSコントローラなどが本認証の対象となります。
統計的サンプリング
母集団からランダムに抽出したサンプルを確率論に基づき分析することで母集団全体の評価を導く手法
故障利用攻撃
デバイスに限定的な障害を故意に与え、デバイスの計算誤りから秘密情報を解析する手法
DKIM(DomainKeys Identified Mail)
送信する電子メールにディジタル署名を付加し、受信側で発信元DNSサーバに登録されている公開鍵を使用しディジタル署名の確認を行うことで発信元メールサーバの正当性を検証する仕組みです
TCPのサブミッションポート(ポート番号587)
ISPでOP25Bが行われていると、"25/TCP"を使う通信では正当な利用者も外部のメールサーバと直接コネクションを確立することができなくなってしまいます(例えば外出先で自分が契約しているISPのメールサーバから送信できないなど)。この弊害を解消するためにサブミッションポート"587/TCP"が利用されるようになりました。
FIPS 140(Federal Information Processing Standardization 140)
米国連邦政府の省庁等各機関が利用する、ハードウェア及びソフトウェア両方を含む "暗号モジュール" に関する要件を規定した米国連邦標準規格で、2014年1月現在の最新版は「FIPS140-2」です。
ITU-T X.509
ディジタル証明書や証明書失効リストの標準仕様
マルチホーミング
マルチホーミングは、インターネット回線を複数の回線で接続し、1つの回線が切れてもほかの回線で通信し続けられるようにするという耐障害性の向上や負荷分散を行う仕組みです
リンクアグリゲーション
複数の物理的な回線を仮想的に束ね、論理的な1つの回線として取り扱う技術で、IEEE 802.3adとして標準化されています。
POODLE(Padding Oracle On Downgraded Legacy Encryption)
SSL 3.0のブロック暗号のCBCモードにおける「パディングの最終1バイト分だけをチェックして正しければメッセージ全体が正しいと判断する」という欠陥を突いて、通信内容の解読を試みる攻撃です。平均してわずか256回の試行で暗号文の1バイトを解読可能であり、脆弱性を抱えるシステムにとっては深刻な脅威となります。
HeartBleed攻撃
SSL 3.0のサーバプログラムの脆弱性を突く攻撃であり,サーバのメモリに不正アクセスして秘密鍵を窃取できる
バージョンロールバック攻撃
TLS 1.2のプロトコル仕様の脆弱性を突く攻撃であり,TLSの旧バージョンにダウングレードして暗号化通信の内容を解読できる
Logjam攻撃
TLS 1.2を使用した通信において,Diffie-Hellman鍵交換アルゴリズムの脆弱性を突く攻撃であり,交換されたセッション鍵を窃取して暗号化通信の内容を解読できる
隠れ端末問題
無線LANでは、アクセス制御方式としてCSMA/CAを採用しています。CSMA/CAでは、自分以外の端末の送信フレームを検出した場合、各端末は、その送信時間が満了するまでフレームの送信を待つことで衝突を回避するようになっています。
CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)
情報システムの脆弱性に対する汎用的な評価手法で、用いることで脆弱性の深刻度を同一の基準のもとで定量的な比較ができます。
PCI DSS
Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された基準です。
PMS
Personal information protection Management Systemの略。個人情報保護マネジメントシステムの整備・管理・運用に関する仕組みです。
DNSリフレクタ攻撃(DNS amp)
脆弱性のある公開DNSキャッシュサーバを踏み台として悪用することで行われる反射型DDoS攻撃の一種です。
CAAレコード
ドメインに対する証明書の発行を承認された認証局の顧問ネームを指定するDNSリソースレコード。CAAレコードを使用することで、意図しない認証局から証明書が不正発行されるリスクを軽減することができる。
ライブネット
組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間
電子政府推奨暗号リスト
暗号技術検討会及び関連委員会(以下、「CRYPTREC」という。)により安全性及び実装性能が確認された暗号技術について、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリスト
推奨候補暗号リスト
CRYPTRECにより安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性のある暗号技術のリスト。
運用監視暗号リスト
実際に解読されるリスクが高まるなど、推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続利用を容認するもののリスト。互換性維持以外の目的での利用は推奨しない。
NTPリフレクション攻撃
ネットワークに接続された機器を正しい時刻に合わせるためのNTP(Network Time Protocol)の仕組みを悪用した反射型DoS攻撃の一種です。
プロ―ビング
チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する
バインド機構
SQL文中のユーザ入力を割り当てる部分にプレースホルダと呼ばれる特殊文字(?など)を使用したひな形を用意し、後から実際の値を割り当てる手法です。後から割り当てる値は、SQL文の特殊文字がエスケープされた完全な数値または文字列として扱われるため安全に実行することができます
DoT(DNS over TLS)
DoT/DoHは、TLS(Transport Layer Security)およびHTTPSの上にDNS通信をのせることでクライアントとDNSサーバー間の通信経路を暗号化する技術。第三者による通信の盗聴や改ざんの危険性を低減する。
Wake-On-LAN
前述したように、WOLはネットワーク経由で電源投入の指令を送る機能だ。そのため、WOLの対象になるPCは、ネットワークに接続されている必要がある。そのPCに対して、「マジック・パケット」と呼ばれる、特殊なイーサネット・フレームを送信する。このマジック・パケットは、一般に「AMD Magic Packet Format」と呼ばれる形式のフレームで、以下のような内容をUDPで送信することとなっている。
/etc/passwd
一応暗号化されてはいますがファイルの中身はログインしている人なら誰でも見られるのです
/etc/shadow
「/etc/shadow」ファイルは偉い人しか見ることができません.
リンクローカルアドレス
特殊なIPアドレスの一種で、自らの所属するネットワーク領域(セグメント)でのみ通信が可能なアドレス。IPv4では「169.254.」で始まるアドレス領域(169.254.0.0~169.254.255.255)が、IPv6では「fe80:0:0:0:」で始まる領域(fe80::/64)が、リンクローカルアドレス用に予約されている。ルータなどの機器はこのアドレスからのデータを他のネットワークに転送できない。
クライアント証明書
SSLサーバ証明書がサーバにインストールされ、ウェブサイトの所有者の実在性を認証するのに対し、クライアント証明書は、システムやサービス、メールを利用するユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証します。いわば運転免許証やパスポートのような身分証明書を想像すると理解しやすいです。
enhanced open
パスワードでの認証なしに、公衆無線lanにおける端末とアクセスポイントとの間の無線通信を暗号化する仕組み
スクリーニング
攻撃者が、攻撃者の手元にあるパスワードリストから無効なものを取り除くこと
CRL(certificate revocation list)証明書失効リスト
証明書の有効期間中に、証明書記載内容の変更、秘密鍵の紛失等の事由により失効された証明書情報が記載されたリストのことです。
OCSP
ディジタル証明書の失効情報をリアルタイムで検証し、有効性を確認するプロトコル
LDAP(lightweight directory access protocol)
標準でTCPポートの389番を使用し、ディレクトリサーバにアクセスするプロトコル
ルート証明書
証明書の発行元(認証局)の正当性を証明する証明書のことです。 e-Taxでは以下の認証局を信頼の基点としています。 利用者はe-Taxソフト等を利用するに当たり、上記の認証局を信頼の基点とすることに同意した上で、各認証局のルート証明書をパソコンにインストールする必要があります
シェアードシークレット
共通鍵のこと
r2 秋 午後2
saml と openIDのフロー
TFTP(Trivial File Transfer Protocol)
FTPを簡略化しUDPを用いてファイル転送を行うプロトコルです。
鍵の個数の公式
共通鍵 n(n-1)/2
envelope header
envelope to SMTPによるメール転送時の実際の宛先となるメールアドレスのこと。
SPF
具体的には、メール送信時に利用するサーバのIPアドレスを送信側のDNSに「SPFレコード」として事前に登録。受信側はメール受信時に送信側のSPFレコードと照合し、なりすましかどうかを判断します
コードサイニング証明書
コードサイニング証明書を使って、オンラインで配布するソフトやプログラムにコード署名をすることにより、ソフトウェアの開発元・配布元を明確に表示し、コンテンツの完全性を証明することができます。
ゴールデンチケット攻撃
この攻撃は、簡単に言うとWindows OSのドメイン内の認証に使われる「チケット」と呼ばれるものを不正に偽造して、認証を突破するという攻撃です
C&Cサーバの攻撃
攻撃者は、あらかじめ攻撃者用ドメインを取得し、権威サーバをC&Cサーバとして、インターネット上に用意しておく。マルウェアが、社内のフルサービスリゾルバに攻撃用ドメインについての再帰クエリを送信するとフルサービスリゾルバがC&Cサーバに非再帰クエリを送信する。こうしてマルウェアはC&C通信を行う
リフレクタ攻撃
送信元IPアドレスを攻撃対象のサーバに偽装したタイ併せパケットを利用して、大量の応答パケットを攻撃対象に集中させ、過負荷状態にすることでサービス停止に追い込むDDoS攻撃。リフレクタ攻撃ではIPアドレスの偽装が容易なコネクションレス型であるUDPのプロトコルが攻撃に利用される
ポート番号
20 FTP転送用
SFTP SSH File Transfer Protocol
SSHによって暗号化するファイル転送プロトコル
SCP secure copy protocol
sshに含まれるsshの機能を使って、セキュリティの高いファイル転送を行う通信プロトコル
プライバシーセパレータ
同一の無線LANに接続されたデバイス同士の通信を抑制する機能です。店舗内Wi-fiや公衆無線LANサービスのように見知らぬ他人同士が同じ無線LANに接続する場面で、利用者のセキュリティ保護のために設定されます
SSIDステルス機能
アクセスポイントの識別子を知っている利用者だけに機器の接続を許可する
イテレーション(Iteration)
アジャイル開発における反復の単位で、分析、設計、実装、テストの一連の活動を含みます。アジャイル開発では、概ね数週間程度ごとにこの開発サイクルを繰り返して次第に完成度を高めていきます。
Adversarial Examples攻撃
敵対的サンプル攻撃のことで、入力画像に人間の目では認識できない程度の微細なノイズを加えることによって、AIの誤判定等を引き起こす攻撃です
Model Inversion攻撃
モデル反転攻撃のことで、機械学習済みモデルの入出力から、特定のデータが訓練データの一部であったか否かの情報を得たり、学習に用いられた訓練データを復元したりする攻撃です。
VXLAN
VXLANは、イーサネットフレーム全体をIP/UDPヘッダとVXLANヘッダでカプセル化することで、レイヤ3ネットワーク上に論理的なレイヤ2ネットワークを構築するトンネリングプロトコルです。離れたサブネットに属する複数のレイヤ2ネットワークをつなぐ、共通のレイヤ2ネットワークを構築するために使用されます。VXLANセグメント同士はカプセル化を行うVTEP(Virtual Tunnel End Point)を経由して通信を行います
SECURITY ACTION
SECURITY ACTIONは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です
MyJVN
MyJVNは、JVN iPediaの情報を、利用者が効率的に活用して頂けるように、脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア製品のバージョンを容易にチェックする等の機能を提供する仕組み(フレームワーク)です(※MyJVNウェブサイトより引用)
せきすぺ3