攻撃と脅威 の用語
81 terms
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
スピアフィッシング
事前に収集した個人情報や業務情報をもとに、特定の個人や組織に合わせて作り込まれた標的型フィッシング攻撃。
ホエーリング攻撃
経営幹部などの高価値ターゲットを狙うスピアフィッシング攻撃。多くは多額の不正送金や戦略情報の取得を目的とする。
スミッシング
SMS など携帯端末向けメッセージを用いたフィッシング攻撃。悪意あるリンクのクリックや偽番号への発信、情報の入力を促す。
ビッシング
電話や VoIP など音声経路を利用したフィッシング攻撃。被害者から認証情報・送金・リモートアクセス権を引き出す。
ファーミング
DNS、hosts ファイル、ローカルルーティングなどを改ざんし、リンクをクリックさせずに正規サイトから悪意あるサイトへ密かにリダイレクトさせる攻撃。
中間者攻撃 (MitM)
通信中の双方が直接やり取りしていると信じている間に、攻撃者が通信を密かに中継・改ざんする攻撃。
分散型サービス妨害攻撃 (DDoS)
多数の分散した送信元から同時に行うサービス妨害攻撃。通常はボットネットを用い、標的の帯域・インフラ・アプリを圧倒する。
サービス妨害攻撃 (DoS)
システムの帯域・処理能力・メモリ・アプリケーション資源を枯渇させ、正当な利用者がサービスを利用できなくする攻撃。
DDoS 増幅攻撃
UDP ベースのサービスを悪用し、偽装したリクエストに対して桁違いに大きな応答を反射させ、小規模な攻撃者でも大量のトラフィックを生成可能にする DDoS 技法。
DNS 増幅攻撃
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
NTP 増幅攻撃
NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。
SYN フラッド
TCP の 3 ウェイハンドシェイクを完了させずに大量の SYN パケットを送り付け、標的の接続状態リソースを枯渇させる DoS 攻撃。
Ping of Death
不正または巨大な ICMP echo パケットを送信し、再構築時に脆弱な TCP/IP スタックをクラッシュ・ハング・再起動させる古典的な DoS 攻撃。
Teardrop 攻撃
重なり合うまたは不正な offset を持つ IP フラグメントを送信し、再構築処理に欠陥のある TCP/IP スタックをクラッシュさせる旧式の DoS 攻撃。
LAND 攻撃
送信元 IP/ポートを宛先と同一にした偽装 TCP SYN を送り、脆弱なシステムをループやクラッシュに陥らせる旧式の DoS 攻撃。
Smurf 攻撃
送信元 IP を被害者に詐称した ICMP echo をネットワークのブロードキャストアドレスへ送り、ネットワーク上の全ホストに被害者宛応答を返させる古典的な増幅 DDoS。
Fraggle 攻撃
Smurf 攻撃の UDP 版。被害者 IP を詐称した UDP echo / chargen をネットワークのブロードキャストへ送信し、応答する全ホストから被害者にフラッドを浴びせる。
セッションハイジャック
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
クッキーハイジャック
ユーザーの HTTP クッキー(通常はセッションや認証用クッキー)を盗み、再利用して Web アプリ上でそのユーザーになりすます攻撃。
クッキーポイズニング
HTTP クッキーが Web アプリへ送信される前にその内容を書き換え、信頼・本人性・業務ロジックの判断を歪める攻撃。
クリックジャッキング
攻撃者ページ内に対象ページを覆い被せたり隠したりして、ユーザーが見ているものとは別の要素をクリックさせる UI 詐欺攻撃。
タブナビング
背景タブや新たに開いたタブが密かに信頼されたログインページを装い、戻ってきたユーザーに再度認証情報を入力させようとする攻撃。
タイポスクワッティング
正規のドメイン名やパッケージ名のスペルミス・視覚的類似名を取得し、入力ミスや視認ミスをするユーザー・開発者を狙う手口。
サイバースクワッティング
他者の商標や著名なブランド名を含むドメイン名を権限なく取得する行為。多くは権利者から金銭を引き出すか、利用者を欺くことが目的。
ドメインハイジャック
登録済みドメインに対するレジストラまたはレジストリレベルでの不正な制御権奪取。攻撃者はトラフィック・メール・信頼を悪意ある基盤へ向け直せる。
DNS ハイジャック
クライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
DNS キャッシュポイズニング
DNS リゾルバのキャッシュに偽造レコードを挿入し、TTL が切れるまで以降の問い合わせが攻撃者指定のアドレスを返すようにする攻撃。
ARP スプーフィング
ローカルネットワーク上で偽の ARP メッセージを送信し、攻撃者の MAC アドレスを他ホストの IP に結びつけて通信を奪取する攻撃。
IP スプーフィング
ネットワークパケットの送信元 IP を偽装し、他ホストへのなりすまし、フィルタ回避、DoS 増幅に利用する攻撃。
MAC スプーフィング
ネットワークインターフェースの MAC アドレスを書き換え、他端末へのなりすまし、MAC フィルタ回避、追跡回避に利用する手法。
メールスプーフィング
メールヘッダを偽造して信頼できる差出人から送られたように見せかけ、フィッシング・詐欺・マルウェア配布などに用いる手法。
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
CEO 詐欺
BEC の一種で、攻撃者が経営幹部になりすまして従業員に未承認の送金や機密対応を迫る詐欺。
ロマンス詐欺
攻撃者が偽の恋愛関係を構築し、その信頼を悪用して金銭・贈り物・機密情報を引き出す長期型のソーシャルエンジニアリング詐欺。
テクニカルサポート詐欺
著名ベンダーのテクニカルサポートを装い、リモートアクセスツールの導入、認証情報の提供、虚偽サービスへの支払いをさせる詐欺。
請求書詐欺
偽造請求書や改ざんした正規請求書を送り付け、支払先を攻撃者の口座に変えさせる詐欺。
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
総当たり攻撃
パスワード、PIN、鍵などの候補値を片端から試し、正しい値を割り出す攻撃。
パスワードスプレー攻撃
少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。
辞書攻撃
あらかじめ用意した一般語彙・漏えいパスワード・ルールに基づく派生形を候補とし、対象に試行する標的型パスワード推測攻撃。
レインボーテーブル攻撃
ハッシュ関数と還元関数を交互に並べたチェーンを圧縮テーブルに保存し、ソルトなしハッシュを総当たりよりはるかに速く逆引きする事前計算攻撃。
リプレイ攻撃
認証トークンや取引などの正規ネットワーク通信を捕捉し、後で再送信して送信者になりすます攻撃。
リレー攻撃
二者間の認証交換をリアルタイムに中継し、攻撃者が認証情報を知らないままに認証される攻撃。
イービルツイン攻撃
正規 SSID を模した不正アクセスポイントを設置し、被害者を接続させて通信や認証情報を盗む Wi-Fi 攻撃。
不正アクセスポイント
ネットワークに無断で接続された Wi-Fi アクセスポイント。攻撃者が仕掛けたり従業員が善意で設置したりして、ネットワークセキュリティを迂回する。
Wi-Fi Pineapple
Hak5 が販売する商用無線監査機器。不正 AP、イービルツイン、中間者攻撃を自動化でき、レッドチーム業務で広く使われる。
ブルージャッキング
近くの「検出可能」状態の Bluetooth 端末に未承諾のメッセージや連絡先を送り付ける、嫌がらせ寄りの Bluetooth 攻撃。
ブルースナーフィング
Bluetooth の脆弱性を悪用し、近くの端末から所有者の同意なく連絡先・メッセージ・予定・ファイルなどを読み取ったり複製したりする攻撃。
ブルーバギング
Bluetooth 経由で被害端末をコマンドレベルで隠密に制御する攻撃。データ窃取に留まらず、発信・メッセージ閲覧・音声中継などが可能になる。
ジュースジャッキング
公共または改造された USB 充電ポートを使い、ケーブルのデータ線を悪用して接続したスマートフォンにマルウェアを仕込んだりデータを抜いたりする攻撃。
ショルダーサーフィン
肩越しに、または隠しカメラ越しに、画面・キーボード・PIN パッドを盗み見て、認証情報・コード・機密情報を盗む手口。
ダンプスターダイビング
組織や個人が廃棄した紙、リムーバブルメディア、機器などを漁り、機密情報を取り出す手口。
ピギーバッキング
正規の利用者が意図的に同伴を許可することで、攻撃者がアクセス制御を通過して不正に物理的・論理的アクセスを得る行為。
テールゲーティング
正規のユーザーに気づかれずに密着して後ろをついて行き、アクセス制御を不正に通過する物理的侵入手法。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
ベイティング
魅力的な物理メディアやデジタルコンテンツを餌として被害者を誘い、マルウェアの実行や認証情報の窃取を狙うソーシャルエンジニアリング攻撃。
プリテキスティング
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。
クイド・プロ・クオ攻撃
サービスや利益の提供と引き換えに、被害者から情報やアクセス権を引き出そうとするソーシャルエンジニアリング攻撃。
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
水飲み場攻撃
特定の利用者集団がよく訪れるウェブサイトを侵害し、彼らが閲覧した際に感染させる標的型攻撃。
ドライブバイダウンロード
侵害された、または悪意のあるウェブサイトを訪れるだけで、利用者の端末にマルウェアが密かにインストールされる攻撃。
マルバタイジング
信頼されたウェブサイト上に表示される一見正規の広告を通じて、オンライン広告網からマルウェア・エクスプロイト・詐欺を配信する手口。
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
クロスサイトリクエストフォージェリ(CSRF)
認証済みユーザーのブラウザに、脆弱なサイトへ意図しないリクエストを送らせ、本人の同意なく状態変更操作を実行させる Web 攻撃。
サーバーサイドリクエストフォージェリ(SSRF)
攻撃者がサーバーに任意の宛先(多くは内部システム)へ HTTP やその他のネットワークリクエストを送らせることができる Web 脆弱性。
SQL インジェクション
信頼できない入力から組み立てたクエリに攻撃者が制御する SQL 断片を埋め込み、データ窃取・改ざん・データベース全体の侵害につながる攻撃。
NoSQL インジェクション
ドキュメント型・キーバリュー型・グラフ型データベースに対し、クエリオブジェクトに演算子や JavaScript を埋め込む注入攻撃。
Command Injection
Command Injection — definition coming soon.
LDAP Injection
LDAP Injection — definition coming soon.
XML Injection
XML Injection — definition coming soon.
XXE Attack
XXE Attack — definition coming soon.
Server-Side Template Injection
Server-Side Template Injection — definition coming soon.
CSV Injection
CSV Injection — definition coming soon.
Directory Traversal
Directory Traversal — definition coming soon.
Local File Inclusion
Local File Inclusion — definition coming soon.
Remote File Inclusion
Remote File Inclusion — definition coming soon.
Insecure File Upload
Insecure File Upload — definition coming soon.
Open Redirect
Open Redirect — definition coming soon.
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.