専門用語ってあまり一般的とは言えないので、普段メディアとかで見聞きしてないとなんだかよくわからないことが多いですね。そんな聞きなれていないがゆえに普通の人が聞いたら「必殺技の名前?」とか思われそうなセキュリティ用語ベスト10。せっかくだから内容も書いておきます。
10.クリックジャッキング
→ Webページを訪れた利用者が、気づかないうちにクリックさせられてしまうこと。たとえば画面を見ただけでは問題のないリンクやボタンの上に、見えないボタンやリンクを配置しておくことで利用者は警戒することなくクリックしてしまい、利用者の意図しない(そして悪質な攻撃者の意図した)動作をしてしまう。
09.SQLインジェクション
→ データベースを操作するアプリケーション(というかSQL文)に存在する脆弱性を利用し、SQL文に不正なSQL文を追加することで、本来表示されないはずのデータを表示させる、不正なデータを追加するなど不正な操作をすること。これにより例えば、個人情報漏洩やWEBページの改ざんなどが可能。2008年はこの手がとても多発してるのでこの言葉自体は有名になってしまった感がある。
08.クロスサイトスクリプティング
→動的なWebページを出力するアプリケーション(一番身近なのは掲示板)の脆弱性を利用し、スクリプトが実行されるようにコードを埋め込むこと。Webページを表示したコンピュータ上で悪意あるスクリプトが実行されてしまう。
07.エクスプロイトコード
→ アプリケーションの脆弱性を利用した不正な動作を再現することするために検証・検査用に作られたコード(プログラム)のこと。それ自体は攻撃性はなく、基本的にはプログラマや研究者が研究用、確認用などの目的で公開・利用されている。……が、コードを書き換えることで攻撃性を持った悪質なツールにもなりえる諸刃の剣でもある。
06.ゼロデイアタック
→ 脆弱性が発見され、その対策がなされてパッチなどが提供される前に、その脆弱性を利用した攻撃をすること。
05.IPスプーフィング
→ どこから攻撃したかがわかると攻撃側にとっていろいろ困ることもあるので、じゃあ隠してしまえ!と送信元のIPアドレスを偽のIPアドレスにしてパケット送信すること。
04.バックオリフィス
→ これを仕込まれると、リモートからコンピュータを制御されてやりたい放題になるトロイの木馬の一種。なんか久しぶりにこの言葉を見た気がする。
03.ステートフルパケットインスペクション
→ ファイアウォールの機能の1つ。パケットを読み取って内容を判断し、動的にポートの開放と閉鎖をする機能。従来のパケットフィルタリングはパケットのヘッダ情報を定型的な判断で通過や遮断を行っているため、条件次第では攻撃を目的としたパケットを通過してしまうこともあったが、これはその点もカバーできている(どうせイタチごっこだろうけどね)。
02.クロスサイトリクエストフォージェリ
→ 利用者が攻撃用のWebページを閲覧した際に、そのWebページに仕込まれたコードやスクリプトが実行され、利用者の意図しない(攻撃者の意図した)動作をしてしまうこと。たとえば、他所の掲示板に勝手な書き込みをしてしまったり、ネットショップで買い物させられたりする。
01.ブルートフォースアタック
→ 総当たりでパスワード解析すること。