ゼロデイ攻撃（Zero-Day Attack）は、特定のソフトウェアやハードウェアの脆弱性を攻撃者が発見し、その脆弱性が公に知られていない状態で攻撃する手法のことです。ゼロデイは、セキュリティベンダーやソフトウェアベンダーが脆弱性を発見してから、その問題…

SEOポイズニングは、ウイルスなどを仕込んだページに、SEO対策を施すことで、Googleなどの検索エンジンで上位に表示させる行為を指します。そういう悪意を持った検索結果上位にあるWebサイトには、マルウェアだと分からないような表現でマルウェアをダウンロ…

TPM（Trusted Platform Module）は、情報セキュリティを確保するため、機密情報を保護するハードウエア（ICチップ）です。TPMの主な機能は以下の通りです。 キー管理：TPMは暗号鍵の生成、保管、管理を行います。これにより、重要な鍵情報をハードウェアレベ…

SQLインジェクションは、Webサイトにリクエストを送るHTTPのパラメータにSQLの命令を含ませることで、SQLを採用しているデータベースに直接アクセスして不正操作を行う攻撃手法のことです。正常なログインで実行されるSQL文を確認します。下図では顧客テーブ…

HIDDENフィールドをHTMLの入力フォームで使用すると、Webブラウザで表示されません。画面上には表示されないが、サーバー側で利用する必要がある情報がある場合、HIDDENフィールドを使用することができます。その特性から、HIDDENフィールドを使って商品の価…

クエリストリングはクエリ文字列のことで、WebブラウザなどがWebサーバに送信するデータを、送信先を指定するURLの末尾に特定の形式で表記したものです。URLの途中に「?」記号があれば、「?」以降の文字列はクエリストリングとなります。クエリストリングに…

クロスサイトリクエストフォージェリ（Cross-Site Request Forgeries）は、Webアプリケーションのサーバー側機能を、ユーザーの意図に反して勝手に実行させる攻撃です。被害を与えるWebサイトの掲示板などに、ユーザーのパソコンのIPアドレスでアクセスして…

クロスサイトスクリプティング（Cross Site Scripting）は、脆弱なWebサイトをターゲットとして、悪意あるWebサイトからスクリプトをユーザのパソコンに送り込むことで、ユーザーのパソコンの個人情報を搾取する攻撃方法です。略称として「XSS」と表記する場…

サイバーセキュリティ月間は、国民がサイバーセキュリティについての関心を高め、理解を深めるため、政府が主導し、サイバーセキュリティに関する様々な取り組みを集中的に行うことを目的にしています。毎年、2月1日から3月18日までをサイバーセキュリティ月…

Ping of Death 攻撃は、規定サイズ以上のIPパケットを送信し、攻撃対象となる機器をクラッシュさせる攻撃です。ping（ICMP）のパケットの最大長は65,536バイトです。これを超える長さのパケットを受信すると、サービスが停止する可能性があります。Ping of D…

TEAR DROP攻撃は、DoS攻撃（DDOS攻撃）の一種です。TEAR DROP攻撃は、攻撃者はターゲット サーバに断片化されたパケットを送信し、そのサーバに TCP/IPの脆弱性があると、サーバがパケットを再構築できず、過負荷にさせる攻撃です。いまは、多くのシステムや…

LAND攻撃は、攻撃者がSYNパケットを送信し、送信相手を無限ループに陥れる攻撃です。SYNパケットを受信している間は他の処理が行えなくなるので、コンピュータが動作不能になります。LAND攻撃を防ぐには、ファイアウォールのパケット・フィルタリング機能な…

SYNフラッド攻撃は、TCPがセッションを確立する時に行う３ウェイハンドシェイク（下図）を悪用したDoS/DDoS攻撃の一種です。TCPのコネクションは下図のような３ウェイハンドシェイクが使われます。 ３ウェイハンドシェイクSYNフラッド攻撃は、最初にSYNパケ…

DoS攻撃は、情報セキュリティの３つの要素のひとつである可用性を侵害する攻撃手法のひとつです。 サーバやネットワークのリソースに過剰な負荷をかける事でサービスを妨害します。Dos攻撃を発展させた、DDoS 攻撃は、複数のパソコンを踏み台としてターゲッ…

ポートスキャンは、ネットワークコンピュータが持つ複数のポートに対して接続要求と要求に対する応答を確認することで、利用可能なポートを探すことです。ポートはインターネットで特定のサービスへの通信をさせる入り口です。そのプロセスを識別するコード…

fingerは、アプリケーション層で動作するサーバーにログインするユーザの情報を表示するときに使うコマンドです。fingerを悪用し、現在ログイン中のユーザアカウントの情報を盗むリスクがあります。図で示したネットワーク構成において，アプリケーションサ…

SSL-VPNは、暗号化にSSL技術を使用したリモートアクセスVPNです。VPNには、IPsecによるインターネットVPNと、SSLによるVPNの大きく2つがあります。IPsecによるVPNの場合、クライアントPCに必ずIPsec対応のソフトウェアをインストールする必要があります。一…

IPsec（IP Security）は、インターネット上の通信を暗号化するためのプロトコルです。IPsecは、IPネットワーク上の通信に対して、セキュリティサービスを提供するために使用されます。IPsecには、次の2つの主要なプロトコルがあります。 認証ヘッダ（AH）：…

PKI（公開鍵基盤）は、公開かぎ暗号方式を利用するための周辺技術、概念です。公開鍵の正当性を証明する機関が認証局（CA）、ユーザからの申請を受けて登録するのが登録局（RA）です。PKI(公開鍵基盤)の認証局が果たす役割はどれか。 ア 共通鍵を生成する。 …

ハッシュ関数は任意のデータを入力して固定のデータを出力する関数のことです。出力したデータから入力したデータを導くことができない一方向性、異なる入力データから同じ出力結果が得られる可能性が非常に低い耐衝突性といった特徴を備えています。代表的…

メッセージ認証は、メッセージ本文と送信者と受信者が共通鍵を元に、MAC値という短いデータを算出し、これをメッセージに添付します。受信側では届いたメッセージ本文と共通鍵から同じようにMAC値を算出し、添付されたものと一致すれば、通信途上で改ざんさ…

デジタル署名は、電子データの改ざんを防止するために使用される暗号技術の一つです。デジタル署名は、送信者がデータを作成した後、秘密鍵を使用してデータに署名を付けます。この署名は、公開鍵で検証できます。もし、データが改ざんされた場合、署名は一…

「PGP」及び「S/MIME」は、メールを暗号化する方式です。S/MIMEは、電子メールの暗号化とデジタル署名に関する国際規格です。公開鍵暗号方式を利用しており、暗号化とデジタル署名の機能をもちます。暗号化は公開鍵暗号化方式であるRSAを採用しています。 S/…

「PGP」及び「S/MIME」は、メールを暗号化する方式です。PGPは、米国で作られた電子メールの暗号化ソフトで、ネットから無償でダウンロードできます。公開鍵暗号方式を利用しており、暗号化とデジタル署名の機能をもちます。「PGP」及び「S/MIME」の利点は次…

DSAは、ElGamal（エルガマル）署名を改良して作られた公開鍵暗号化方式のひとつです。暗号アルゴリズムの危殆(たい)化を説明したものはどれか。 ア 外国の輸出規制によって十分な強度をもつ暗号アルゴリズムを実装した製品が利用できなくなること。 イ 鍵の…

楕円曲線暗号方式は、公開鍵暗号方式のひとつで、楕円曲線という計算を行って暗号化する方式です。鍵長が 短いため、高速処理が可能という特徴があります。楕円曲線暗号の特徴はどれか。 ア RSA暗号と比べて，短い鍵長で同レベルの安全性が実現できる。 イ …

RSAは、非常に大きな数の素因数分解が困難である性質を利用した公開鍵による暗号化方式です。公開鍵暗号方式の暗号アルゴリズムはどれか。 ア AES イ KCipher-2 ウ RSA エ SHA-256 ～「基本情報技術者・平成29年春期」より 答えを表示 答え：ウRSAは、非常に…

RC4は共通鍵暗号方式のひとつです。1ビット単位で暗号化・復号が可能なストリーム暗号で、SSLや無線LAN（WPA）などのプロトコルの暗号方式の一つとして採用されてます。無線LANを利用するとき、セキュリティ方式としてWPA2を選択することで利用される暗号化…

AESは共通鍵暗号（秘密鍵暗号）のひとつです。平文を一定の長さごとに暗号文に変換するブロック暗号です。ブロック長は128ビットで、鍵長は128ビット（AES-128）、192ビット（AES-192）、256ビット（AES-256）の三種類から選択できます。AES-256で暗号化され…

DESは「Data Encryption Standard」の略で、共通鍵暗号方式によるデータ暗号化のアルゴリズムの１つです。DESは64bit単位にデータを区切り、それをまとめて暗号化するブロック暗号です。鍵長は56bitですが、パリティチェック（データの送信が適切に行われた…