情報セキュリティマネジメント試験向けに、セキュリティ初心者が用語をまとめるための勉強メモです。
特にためになるような内容はありません。
情報セキュリティの要素
情報セキュリティの3大要素
頭文字をとって、「CIA」という呼び方をする。
- 機密性(Confidentiality):許可のない人にはアクセスをさせない
- 完全性(Integrity):内容が正しい
- 可用性(Availability):使いたいときに使える
その他の要素(4つの新要素)
- 否認防止(non-repudiation)
- 真正性(Authenticity)
- 責任追及性(Accountability)
- 信頼性(Reliability)
これらの性質を確保するために対策を体系的に考えていくことを「情報セキュリティマネジメント」という。
マルウェア
ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアを総称してマルウェアという。
代表的なマルウェア
- ウィルス:プログラムファイルの一部を悪意のある内容に書き換えるマルウェア。自己増殖することもできるが、ウィルス単体では存在することが出来ず、プログラムの一部を改ざんして入り込み、分身を作って増殖する。
- ワーム:ウィルスと同様に自身を複製させるマルウェアだが、単独で存在することが出来るもの。ネットワークに接続しただけで感染するものも多い。
- トロイの木馬:一見すると問題のない画像・文章などのファイルやスマートフォンのアプリに偽装し、デバイス内部へ侵入、外部からの指令によって問題を起こすマルウェア。
- スパイウェア:本人も気遣いないうちにPCなどのデバイスにインストールされ、ユーザの個人情報・アクセス履歴などを収集するマルウェア。
- キーロガー:キーボードの入力内容を外部に流出させる手法。スパイウェアと組み合わせて使われることが多い。
- ランサムウェア:対象のコンピュータ内で不正な挙動を起こし、身代金を要求する手法。
その他合わせて覚えておきたい用語
- ルートキット(rootkit):不正アクセスをした証拠を隠滅するためのツール。
- バッグドア:裏口を作る仕組み。
- ボット:コンピュータを外部から遠隔操作するためのウィルス。
- ボットネット:ボットに感染したコンピュータを束ねてネットワーク化したもの。
- C&Cサーバ(Command and Control server):ボットネットに指令を送ったり制御するサーバー。
攻撃・不正行為
代表的な手法
- ソーシャルエンジニアリング:人間心理に付け込んで情報を聞き出す方法。非技術的。
- 典型的な例)電話で聞き出す
- フィッシング:偽サイトに誘導するなどし、誘導先で情報を聞き出す方法。
- 標的型攻撃:特定の組織を対象に情報を聞き出す方法。
- 典型的な例1)〇〇部〇〇様のように対象を絞り込みメールを送り、信用させる。
- 典型的な例2)よく行くサイトを絞り込み、サイトを改ざんする。改ざん先でドライブバイダウンロードさせるなどして情報を盗む。(水飲み場型攻撃)
代表的な攻撃方法
- SQLインジェクション:SQLを利用して、意図せぬ動作を起こす。
- ディレクトリトラバーサル:脆弱性がある状態のコンピュータでディレクトリのパスを利用して管理者の意図しないディレクトリにアクセスする。
- クロスサイトスクリプティング:不正なコード(javascriptなど)を掲示板などのWEBサイト上で公開させることで第3者のブラウザ上で悪意のあるコードを実行させる。
その他関連用語
- ポートスキャン:利用しているポートを調査すること。
- ゼロデイ攻撃:OSなどで脆弱性が見つかった際に、対策が行われる前に攻撃を行う攻撃。