クリプトジャッキング
被害者のコンピュータを無断で使って暗号資産(Moneroなど)をマイニングさせる攻撃。ブラウザのJavaScript・マルウェア経由で感染し、CPU/GPUを占有するためシステムが著しく遅くなる。
詳細を見る →CVE、EDR、OAuth、SBOMなど、サイバーセキュリティ用語の意味を日本語で解説。検索・カテゴリ・難易度で絞り込めます。
全732語のうち 661〜720語を表示しています。全件横断はサイト内検索を利用できます。
該当する用語が見つかりませんでした。
被害者のコンピュータを無断で使って暗号資産(Moneroなど)をマイニングさせる攻撃。ブラウザのJavaScript・マルウェア経由で感染し、CPU/GPUを占有するためシステムが著しく遅くなる。
詳細を見る →パスワード、APIキー、証明書などの認証情報を計画的または緊急に更新し、旧資格情報を失効させる運用。
詳細を見る →端末状態やセッション、資格情報などの変化を共有し、サービスがアクセス継続可否を速やかに再評価できるOpenID Shared Signalsのプロファイル。
詳細を見る →低い権限でシステムに侵入した攻撃者が、OSやアプリの脆弱性・設定ミスを悪用して管理者権限を得るプロセス。垂直(一般→管理者)と水平(他ユーザーへ)の2種類がある。
詳細を見る →SaaSを構成・提供するサービス、外部依存、データ処理、サブプロセッサなどの関係を利用者が把握できる形で整理する部品表。
詳細を見る →ユーザーやプロセスには、タスク遂行に必要な最低限の権限のみを付与するセキュリティ原則。権限昇格攻撃の被害範囲を最小化するために重要。
詳細を見る →Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的実行の7フェーズ。各フェーズで防御策を適用し攻撃を阻止する考え方。
詳細を見る →ソフトウェアのビルドパイプライン・オープンソースライブラリ・ITベンダーなど「信頼されたサプライヤー」を踏み台にして最終標的に侵入する攻撃。SolarWinds事件(2020)・XZ Utils(2024)が代表例。
詳細を見る →アプリや利用者を認証し、必要なシークレットや短命な資格情報をポリシーに基づいて仲介・配布する仕組み。
詳細を見る →シークレット管理基盤から最初の秘密情報を取得するために必要となる、起点の認証情報や信頼確立に関する課題。
詳細を見る →クラウドの監査ログ、ID、設定変更、ワークロード挙動を相関し、不審な活動の検知・調査・封じ込めを行う運用。クラウド固有の文脈を利用する。
詳細を見る →システムで使う暗号アルゴリズム、鍵長、証明書、暗号ライブラリ、利用場所などを把握するための暗号資産台帳。更新影響の判断に用いる。
詳細を見る →インシデント対応中の事実、影響、実施済み対応、未解決事項、次回判断時刻を関係者へ簡潔に共有する状況報告。意思決定を揃えるために用いる。
詳細を見る →OAuth 2.0の認可要求パラメータをJWTへ格納し、署名または暗号化によって完全性、送信元確認、機密性を与える標準。
詳細を見る →SHA-2 ファミリーに属する暗号学的ハッシュ関数で、入力から 256 ビット(32 バイト)の固定長ハッシュ値を生成する。改ざん検知・デジタル署名・証明書・ブロックチェーンなどで広く使われる。
詳細を見る →インターネットに接続されたデバイス(サーバー・IoT・産業制御システム等)を検索できる特殊検索エンジン。バナー情報・サービス種別・脆弱性情報を収集。OSINTやペネトレーションテストの偵察に使用。
詳細を見る →SPIFFE仕様に基づいてワークロードを検証し、短命なID文書を発行・更新するオープンソースのランタイム環境。
詳細を見る →特定の個人や組織を狙い、事前調査をもとに文面を作り込んだ標的型のフィッシング攻撃。不特定多数に同一メールを送る通常のフィッシングと異なり、実在の取引先・上司・業務文脈を装うため成功率が高い。
詳細を見る →動的な分散システムで、ワークロードへ検証可能なIDを付与するためのオープン標準。サービス間認証の共通基盤として利用される。
詳細を見る →SMS(ショートメッセージ)を悪用したフィッシング攻撃。宅配業者・金融機関・公的機関を装ったSMSに偽サイトURLを含め、認証情報や個人情報を詐取する。スマートフォン利用者の増加とともに急増。
詳細を見る →システム構成、信頼境界、脅威、対策をテキストや構造化データで管理し、設計変更と同じレビュー・自動化の流れへ組み込む方法。
詳細を見る →システムやソフトウェアに存在するセキュリティ上の弱点。攻撃者はこれを悪用(エクスプロイト)してシステムに侵入する。CVE番号で識別される。
詳細を見る →システムやアプリケーションの既知脆弱性・設定不備を、スキャナーと手動確認によって網羅的に洗い出す活動。侵入可否を検証するペネトレーションテストと異なり、「弱点の列挙と深刻度評価」に主眼を置く。
詳細を見る →機能や変更がセキュリティ要件を満たしたと判断するための、具体的で検証可能な完了条件。
詳細を見る →セキュリティ上の価値や必要性を、利用者・目的・期待結果の形式で開発バックログへ組み込んだ要求。
詳細を見る →パッチが未提供の脆弱性(ゼロデイ脆弱性)を突いた攻撃。ベンダーが脆弱性を認識した日を「Day 0」とし、それ以前から始まることが多い。防御が困難で価値が高い。
詳細を見る →「信頼しない、常に検証する」を基本とするセキュリティモデル。社内ネットワークでも外部ネットワーク同様に厳密な認証・認可を要求する。ペリメータセキュリティの限界を補う。
詳細を見る →アクセストークンを特定クライアントが保持する鍵や証明書へ結び付け、トークン単体の盗難による再利用を抑える方式。
詳細を見る →人間の心理的弱点を利用して機密情報を引き出したり不正行為を実行させたりする攻撃手法。技術的な脆弱性を使わず、欺瞞・信頼・権威・緊急性などを利用する。
詳細を見る →2種類以上の認証要素(知識・所持・生体)を組み合わせる認証方式。パスワード単体より大幅にセキュリティを向上できる。SMS・TOTP・ハードウェアキーなどが利用される。
詳細を見る →通信する二者の間に割り込み、通信を傍受・改ざんする攻撃。ARP毒化・DNSスプーフィング・悪意のあるWi-Fiアクセスポイントなどを利用。TLSで防御できる。
詳細を見る →ドメイン所有者が、そのドメインの証明書発行を許可する認証局をDNSレコードで指定する仕組み。意図しない発行を抑制する。
詳細を見る →機密データの所在・利用・移動を継続的に把握し、不審なアクセスや持ち出しを検知して調査・封じ込めにつなげるデータ中心の防御アプローチ。
詳細を見る →セッションを端末内の秘密鍵と結び付け、盗まれたCookieだけでは別端末から再利用しにくくするWeb認証の仕組み。
詳細を見る →AIの深層学習(Deep Learning)で生成された偽の画像・音声・動画。本物そっくりに人物の顔や声を合成できる。ビッシング詐欺・なりすまし攻撃・ディスインフォメーションに悪用される。
詳細を見る →検知ルールを企画、実装、テスト、展開、監視、調整、廃止まで継続管理する一連の運用。
詳細を見る →送信者の秘密鍵でデータのハッシュ値を暗号化したもの。受信者が公開鍵で復号してハッシュを照合することで「改ざんなし・送信者の正当性」を同時に確認できる。コード署名・TLS証明書・JWT署名などに使用。
詳細を見る →自社管理外を含むインターネット上から、なりすまし、漏えい情報、偽サイト、ブランド悪用などの外部リスクを継続監視する取り組み。
詳細を見る →パッケージ公開時に長期保存したAPIトークンを使わず、CI/CDのOIDC IDなど短命な証明を用いて発行元を確認する方式。
詳細を見る →認証済みのユーザーが特定のリソースやアクションにアクセスする権限を持つかを判定するプロセス。RBAC・ABAC・最小権限の原則に基づいて実装する。
詳細を見る →ユーザーやシステムが本人であることを確認するプロセス。知識(パスワード)・所持(スマートフォン)・生体(指紋)の3要素がある。2要素以上の組み合わせが推奨される。
詳細を見る →PortSwigger社製のWebアプリセキュリティテスト統合プラットフォーム。プロキシ・Repeater・Intruder・Scannerなどのツールを統合。CommunityEdition(無料)とProfessional(有料)がある。
詳細を見る →FIDOアライアンスが標準化したパスワードレス認証技術。公開鍵暗号とデバイス生体認証を組み合わせ、フィッシング耐性が極めて高い。WebAuthn(W3C)の上に構築され、パスワードを完全に置き換える。Apple・Google・Microsoftが対応し急速に普及中。
詳細を見る →各サービスごとに異なる長いランダムパスワードを安全に生成・保存するツール。マスターパスワード1つで全パスワードを管理する。1Password・Bitwarden・KeePassXCが代表例。パスワード使い回しによる被害を根本的に防ぐ。
詳細を見る →正規の認証プロセスを迂回してシステムに不正アクセスできるように仕掛けられた隠し経路。攻撃者が侵入後に設置するケースと、ソフトウェアの開発段階に仕込まれるサプライチェーン型がある。
詳細を見る →任意長のデータを固定長のハッシュ値(ダイジェスト)に変換する一方向関数。同じ入力は常に同じ出力を返し、わずかな変更でも大きく変化する(雪崩効果)。SHA-256・MD5(非推奨)など。
詳細を見る →OSやソフトウェアのセキュリティパッチを定期的に適用し、既知の脆弱性を修正するプロセス。テスト→承認→展開→確認のサイクルで管理する。ゼロデイ以外の多くの攻撃をパッチで防げる。
詳細を見る →ネットワークトラフィックを監視し、ポリシーに基づいて通信を許可・遮断するセキュリティ装置。パケットフィルタリング型・ステートフルインスペクション型・次世代ファイアウォール(NGFW)に分類される。
詳細を見る →高い安全性を必要とするAPI向けに、OAuth 2.0とOpenID Connectの利用方法を制約・強化するOpenID Foundationのセキュリティプロファイル。
詳細を見る →正規のメール・Webサイトを装い、認証情報やクレジットカード情報を騙し取る攻撃。特定個人を狙うスピアフィッシング、経営幹部を狙うホエーリングが高度化している。
詳細を見る →偽サイトで認証情報を入力させられても、正規サービス以外では認証を成立させにくい多要素認証。FIDO2やパスキーが代表例。
詳細を見る →組織の防御を担うチーム。SOC や CSIRT として、監視・検知・調査・封じ込め・復旧を行い、攻撃をいかに早く発見し被害を抑えるかに責任を持つ。
詳細を見る →パスワードや暗号鍵のすべての組み合わせを試す攻撃。アカウントロックアウト・レートリミット・長いパスワードで対策する。辞書攻撃はよく使われるパスワードのみを試す変種。
詳細を見る →クライアントとサーバーの間に立って通信を中継するサーバー。フォワードプロキシは社内から外部への通信を中継・制御し、リバースプロキシは外部からサーバーへの通信を受けて負荷分散やキャッシュ、WAF 連携を担う。
詳細を見る →製品の企画・設計・開発・提供・保守・終了までを通じて、利用者へ安全な状態を届け続ける組織的な活動。
詳細を見る →許可を得た上で実際の攻撃者の視点でシステムへの侵入を試み、脆弱性を特定するセキュリティ評価手法。ブラックボックス・グレーボックス・ホワイトボックスの3種類がある。
詳細を見る →マルウェアに感染した多数のコンピュータ(ボット)をC2サーバーから一元制御するネットワーク。DDoS攻撃・スパム送信・クリプトジャッキング・クレデンシャルスタッフィングに悪用。Emotet・Mirai(IoT)が有名。
詳細を見る →WebサイトやAPIへの自動アクセスを識別し、正当なボットを許可しながら不正利用や過負荷を抑制する防御機能。
詳細を見る →サイバーインシデントが財務、業務、顧客、法令、評判などに与える影響を評価し、重要な開示・報告判断につなげるプロセス。
詳細を見る →悪意のあるソフトウェアの総称。ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア・アドウェアなどが含まれる。感染経路はメール添付・Webサイト・USBメモリなど多様。
詳細を見る →