ICT初級講座 F/U NO.42
メディカルICTリーダー養成講座【初級】フォローアップ
≪サイバー用語紹介≫
ICT関連文書等を読み解くために必要な各種用語を解説します。
2023年1月の用語紹介
ソフトウェアのバグや設定ミス等セキュリティ上の弱点をいう。ソフトウェアのバグの場合、発見後配布されるセキュリティパッチを直ちに適用し、セキュリティホールを塞ぐことが重要である。
◎インデックス:せ
DNSサーバソフトウェアの欠陥を悪用して、DNSキャッシュ情報を不正なレコードに置き換える攻撃手法。 対象のDNSサーバを利用するユーザが攻撃者の用意した悪意のあるサイトへ誘導されるおそれがある。 例えば、ある組織のDNSサーバを攻撃することにより、そのDNSサーバを利用する全てのユーザが影響を受けることになる。 インターネットサービスプロバイダーのDNSサーバへの攻撃では、数多くのインターネットユーザが影響を受ける可能性がある。
◎インデックス:き
入力欄のある Webページで、入力した内容をそのままブラウザに送り返してしまう様な仕組みを備えた場合の危険性が指摘された脆弱性のことをいう。 入力情報のチェックに不備があると、悪意のあるスクリプトを含むWebページが生成される。このページを閲覧した際にブラウザ上でスクリプトが実行されてしまい、Cookie情報が盗まれたり、偽の情報が表示されるなどの被害が考えられる。 他のWebサーバに悪意のあるスクリプトを含むWebページを用意しておき、この脆弱性を利用してリンクを設定し誘導することが可能なことから、クロスサイトスクリプティングと命名された。 Webサーバの管理者は入力欄のあるWebページを設置する際には、「サニタイジング」と呼ばれる文字列処理をきちんと行い、入力欄にスクリプトを入力されても無効とする措置が必要となる。
◎インデックス:く
実在するクレジットカード会社や銀行などを装った内容のメールを無作為に発信して、メールの受信者に偽のWebサイトにアクセスするように仕向け、個人情報を騙し取ること。例えば、緊急性や重要性をアピールする文面でユーザにメールを送り、ユーザを実在する本物のWebサイトそっくりに偽装したWebサイトへ誘導し、クレジットカード番号、パスワードなどの情報を盗み取ることを目的とした行為を指す。
◎インデックス:ふ
大量もしくは大容量のメールを送ることで相手側の機能を麻痺させるサービス不能攻撃の一種。
◎インデックス:め
他人のパスワードを探し出すこと。誕生日や氏名等の個人情報から推測するほか、ブルートフォース攻撃や辞書攻撃等の手法がある。
◎インデックス:ぱ
対象サーバがどのポートを使っているかを順次調査すること。攻撃や不正アクセスに先立って行われることが多い。
◎インデックス:ぽ
出典:「用語集」(警察庁 @police)
https://www.npa.go.jp/cyberpolice/words/index.html
(公開日 : 2023年01月01日)