用語集
アグリゲーションサイト複数のWebサイトからあらゆる情報を集約し1つのWebページにまとめるWebサービスの事。以下のようなサイトがある。≒キュレーションサイト〇MoneyForward オンラインバンキングやクレジットカードの入出金情報をユーザーに代わって各Webサイトに ログインし、情報を毎日収集してくれるアカウント・アグリゲーションサービス〇indeed.com 様々な求人サイトから求人データを収集し、一覧ページとしてまとめるサービス。Code RedMSのIISを狙ったワーム。GETメソッドでWebサーバをオーバーフローさせて攻撃プログラムを実行させる。ICS(ファイル拡張子)ICS ファイル拡張子とは、カレンダーはさまざまなアプリケーションがあり、カレンダーファイル(ICS ファイル)と呼ばれ、カレンダーの格納に広く使用されている。ICSファイルは、さまざまなカレンダーまたは電子メールアプリケーションでサポートされている。インキュベーションプログラム別名:起業支援プログラム,スタートアップ支援プログラム,ベンチャー支援プログラム等新たに事業を起こすベンチャー企業などに対して各種支援を提供する取り組みのことである。FPoS(Fintech Platform over SIM)利用者がスマートフォンを用いて銀行やフィンテック企業との各種銀行取引を実施する。世界で最も普及しているICチップであるSIMと電子署名の仕組みを取り入れたFPoSを活用して、スマートフォンから金融取引が安全に高い利便性で実現できることを実証する。クラウドファンディング=ソーシャルファンディングインターネット上で資金を集める行為クラウドファンディング=ソーシャルファンディングインターネット上で資金を集める行為スマートメータスマートメーターは、毎月の検針業務の自動化やHEMS(Home Energy Management System 住宅用エネルギー管理システム)等を通じた電気使用状況の見える化を可能にする電力量計。スマートメーターの導入により、電気料金メニューの多様化や社会全体の省エネ化への寄与、電力供給における将来的な設備投資の抑制等が期待されている。ステージング環境ステージング環境とは、システム開発におけるステージングの段階で確認に用いられる環境のこと。実際にシステムを稼動させている「本番環境」、開発段階で用いる「開発環境」などがある。ステージングの段階ではシステムを公開する前に、動作や表示などについて最終的な確認が行われる。そのため、ステージング環境は本番環境にできるだけ近い、可能であれば同一の条件を持った環境を用意することが望ましい。ソルト(salt)saltは、パスワードを暗号化する際に付与されるデータのこと。予め任意の文字列をハッシュ値に変換しておき、標的のパスワードのハッシュ値と比較することでパスワードを推察する「レインボー攻撃」というパスワード破りの手法への対応策。ランダムなデータをパスワードに付与してから非可逆処理を行うことで、同じパスワードでもハッシュ値は違ったものになり、パスワードを解析されにくくする。この時付与されるデータをソルトという。チャージバック「チャージバック」とは、クレジットカードを保有するお客様が不正使用などの理由により利用代金の支払に同意しない場合に、クレジットカード会社がその代金の売上を取消しすること。ティッカー(Ticker)ティック(TiCk)とは、株の値動きのこと。そして、ティッカーとは取引時間中の株価を意味し、個々の銘柄を識別するためにつけられた証券コードのことを、ティッカー・コード、もしくはティッカー・シンボルと呼ぶ。ヒープスプレー(heap spray)ヒープと呼ばれるメモリ領域に対して不正な プログラムをスプレーで塗りつぶすように大量に書き込み、BOFを起こす攻撃。 http://www.npa.go.jp/cyberpolice/detect/pdf/H22_nenpo.pdfMetasploitMetasploitは、オープンソースなコンピュータセキュリティに関するプロジェクトで、脆弱性、ペネトレーションテスト、侵入検知システム、シェルコードのアーカイブ、アンチフォレンジクス(コンピュータ・フォレンジクスによる解析への対抗技術)等を主な守備範囲としたプロジェクトの名称である。また、本プロジェクトのその成果ソフトウェアとしてよく知られるMetasploit Frameworkの省略名としてもしばしば用いられる。MaaSMobility as a Serviceの略で、車を所有せず、使いたいときだけお金を払って利用するサービス。目grepPCを使わず自分の力で文章中から特定の文字やパターンなどを探しだす行為。トリアージ(セキュリティインシデントにおける)トリアージとは、情報システムやWebサービスを開発、保守・運用している場合において外部からの悪意あるサイバー攻撃を受けた時に、発生する復旧作業をする対象の優先順位を決定する作業の事。インシデント検知時に、内容について補足情報が提示されるか、ということもトリアージに含まれる要素になる。リスティング広告リスティング広告とは、ユーザーが検索したキーワードに応じて検索結果上に表示される広告を指して使われている。広告が、検索されたキーワードに連動して表示されるため検索連動型広告とも呼ばれる。主なプラットフォームは、Googleが提供する「Google AdWords」とYahoo!が提供する「Yahoo!プロモーション広告」。リモートアクセスツール(RAT)リモートアクセスツール(RAT)とは、ネットワーク上のコンピュータを、手元のコンピュータから操作するツールのこと。攻撃目的で作られたRATは「バックドアツール」などとも呼ばれる。ロバストネステスト攻撃者からの攻撃や異常な入力を受けても機器が正常に動作し続けられるかといった堅牢性のテスト。あらゆるプロトコルのパケットを連続送付することで想定外の脆弱性を検出する。検出が困難な未知のセキュリティ脆弱性を発見する。家庭用機器、産業用機器、医療用機器など電子制御を用いる製品の大半に用いられている組み込みシステムに対して行われる。Web LogicOracle WebLogic Serverは、分散Javaアプリケーションの開発、運用、管理を目的として開発された高い拡張性をもつアプリケーション・サーバ。WebviewAndroid 7.0 以降で実行するChromeバージョン 51 以降は、端末上の Chrome APK を使用して Android システムの WebView の提供やレンダリングを行います。このアプローチにより、端末自体のメモリ消費が改善され、WebViewを最新に保つために必要な帯域幅も削減されます(スタンドアロンの WebView APK は、Chrome が有効である限り更新されなくなります)。PDoS(Permanent Denial of Service)PDoSとはサービスを不能にする事以上にハードウェアを破壊する事によって永久(Permanent)にサービスを不能にする事を目的としている攻撃の手法の事。PDoSの事をPhlashing(フラッシング)と言う場合もある。<事例として>BrickerBot:乗っ取ったIoTデバイスのストレージを破壊する事を目的PoC(Proof of Concept)日本語では「概念実証」とも訳される「PoC(Proof of Concept)」。新しいプロジェクトが本当に実現可能かどうか、効果や効用、技術的な観点から検証する行程を指す。AV Testドイツにある独立系のセキュリティ製品の評価を行う第三者テスト機関https://www.av-test.org/en/antivirus/home-windows/windows-7/october-2012/テストに合格すると以下のマークがもらえる。JSONJSONとはJavaScript Object Notationの略で、XMLなどと同様のテキストベースのデータフォーマット。JSONはJavaScript専用のデータ形式では決してなく、様々なソフトウェアやプログラミング言語間におけるデータの受け渡しに使えるよう設計されている。Chromeの拡張機能はHTMLとCSS、そして用意されているAPIを使うためのJavaScriptから構成されている。そしてmanifest.jsonという設定ファイルがChromeの拡張機能の構成を作る。https://github.com/1000ch/chrome-extension-hands-on/wiki/1.1.%E6%8B%A1%E5%BC%B5%E6%A9%9F%E8%83%BD%E3%81%AE%E5%9F%BA%E7%A4%8E%E7%9F%A5%E8%AD%98KVMKernel-based Virtual Machine (KVM) は、Linuxカーネル仮想化基盤。Linuxカーネル 2.6.20 以降に標準搭載されている。implant(セキュリティ関連の英語記事で使われるようなもの)本来のインプラントの意味は、体内に埋め込まれる器具の総称である。セキュリティ系の記事では文脈にもよるが、埋め込まれた機器、マルウェア的な意味合いで使用されている模様。Actor(セキュリティ関連の英語記事で使われるようなもの)「ハッカー」「犯罪組織」「ハクティビスト(社会的・政治的な主張を目的とした、ネット上での活動家)」「国家の支援を受けた攻撃者」「インサイダー(従業員など)」が挙げられる。企業や組織に脅威を与える“役者(threat actor)ScamSite詐欺サイトSNMPリフレクションCommunity名がデフォルトの場合、攻撃者によりSNMPマネージャになりすまされて、パケットを受け入れてしまい、増幅した応答を返してしまう。EDoS攻撃EDoS(Economic Denial of Service / Economic Denial of Sustainability)攻撃とは、標的のシステムに大量のパケットを送るなどしてシステムをダウンさせるDoS攻撃の一種で、「経済的な損失を狙ったDoS攻撃」のこと。具体的には、クラウドサービスを利用する企業の経済的損失を目的に、コンピューティングリソースを大量消費させる、あるいは、ECサイトなどをダウンさせ機会損失させるといった攻撃をさす場合もある。一般的に、クラウドサービスの料金体系は、処理したトラフィック量や使用したストレージの容量など、コンピューティングリソースに応じた従量課金制であることが多い。そこで、標的企業が利用するクラウドサービスに対して不要なリクエストを大量に送りつけたりすることでリソースを大量消費させ、企業に本来支払う必要のない莫大な利用料を支払わせようとするのがEDoS攻撃。企業側の対策としては、サービス契約に際して、クラウド事業者側のDoS攻撃対策について確認することや、DoS攻撃を受けた場合の金銭的被害の負担について確認すること、あるいは、必要に応じて課金の上限額を設定することなどが求められる。FIDO(Fast IDentity Online、ファイドと読む)パスワードに依存せず、代わりに生体情報を使った本人認証と公開鍵暗号方式を組み合わせて「本人であるかどうか」を確認する。FIDO認証モデルでは、本人確認を生体認証などの情報を使って行うため、ユーザーはパスワードを管理する必要がなく、利便性が向上する。安全性の面では、端末における生体認証などの手段に加え、「公開鍵暗号方式における署名検証」という手段を組み合わせて、二段構えで安全性を確保する仕組みを採用している。最終更新:2018年10月14日