セキュリティ・認証– category –
-
DDoS攻撃 — 多数の端末から束で押し寄せるサービス停止攻撃
DDoS(Distributed Denial of Service、分散型サービス妨害)攻撃は、世界中の多数の感染端末やレンタルサーバから一斉に大量の通信を浴びせ、標的のWebサイト・API・ネットワークをサービス継続不能に追い込む攻撃です。1996年9月、ニューヨークの老舗ISP... -
フィッシング — 偽サイトとメールで認証情報をだまし取る詐欺
フィッシング(phishing)は、銀行・通販・SNS・社内システムなど正規サービスの見た目を模したメールやWebサイトで利用者を欺き、ID・パスワード・クレジットカード番号・ワンタイムコードといった認証情報を入力させて盗み取るオンライン詐欺の総称です... -
ランサムウェア — データを人質に身代金を要求する暗号化攻撃
ランサムウェアは、感染した端末やサーバ上のファイルを暗号化し、復号鍵と引き換えに暗号資産での身代金(ransom)支払いを要求する悪意あるソフトウェアの総称です。1989年にJoseph L. Popp博士が配布したフロッピーディスク「AIDS Trojan」が世界初の事... -
SQLインジェクション — 入力欄からデータベースを乗っ取る古典攻撃
SQLインジェクションは、Webフォームやクエリ文字列に入力された文字列が、そのままサーバ側のSQL文に連結されてしまう実装の隙を突き、攻撃者が任意のSQL文をデータベースに実行させてしまう脆弱性です。1998年にハッカー雑誌Phrack誌54号の論考「NT Web ... -
CSRF — 認証済みの利用者を踏み台にする偽リクエスト攻撃
CSRF(Cross-Site Request Forgery、クロスサイトリクエストフォージェリ)は、標的のWebサイトに既にログイン済みの利用者を、別の罠サイトから誘導し、本人が意図しない送金・設定変更・退会といった操作を実行させる攻撃です。2001年にネットワーク技術... -
XSS — 信頼されたサイトに他者のスクリプトを差し込む攻撃
XSS(Cross-Site Scripting、クロスサイトスクリプティング)は、攻撃者が用意したJavaScriptコードを、被害者がアクセスする正規Webサイトの応答に紛れ込ませ、そのサイトを開いた利用者のブラウザ上で実行させる脆弱性です。1990年代後半にマイクロソフ... -
SAML — エンタープライズSSOの定番認証プロトコル
SAML(Security Assertion Markup Language)はOASIS(標準化団体)が2005年にv2.0として完成させた、XMLベースのシングルサインオン(SSO)プロトコルです。「ユーザがIdP(Identity Provider)にログインすると、そこに紐づく複数のSP(Service Provider... -
HashiCorp Vault — シークレット管理のクラウドネイティブ標準
HashiCorp Vaultは2015年、Terraform 等で知られる HashiCorp 社が公開したシークレット管理ツールです。「DBパスワード、APIキー、TLS証明書、SSH鍵などの機密情報を一元管理する」目的で設計され、クラウドネイティブ時代の「シークレットを安全に配るイ... -
TLS 1.3 — 安全とパフォーマンスを再設計した暗号通信の最新標準
TLS 1.3は2018年8月にIETFがRFC 8446として標準化した、トランスポート層セキュリティの最新メジャーバージョンです。前バージョンTLS 1.2(2008年)から実に10年ぶりの大改訂で、設計上の根本的な見直しが行われました。ハンドシェイクの簡略化、危険な暗... -
OAuth 2.0 — 「パスワードを渡さずに権限委譲する」業界標準プロトコル
OAuth 2.0は2012年にRFC 6749として標準化された、認可(Authorization)のためのプロトコルです。「他社サービスに自分のデータへのアクセスを許可するとき、パスワードを渡さずに済む」という発想で生まれ、「Googleでログイン」「GitHubで連携」のよう...
