セキュリティ用語集

パスワードセキュリティに関連する専門用語をわかりやすく解説します。

ア行

RBAC

役割に基づくアクセス制御モデルです。ユーザーにロールを割り当て、ロールに権限を紐づけることで、大規模組織でも効率的な権限管理を実現します。

IAM

ID とアクセス権限を一元管理する仕組みです。認証と認可を統合的に制御し、RBAC や ABAC などのモデルで最小権限の原則を実現します。クラウド環境では設定ミスが重大なインシデントの原因となります。

IDS/IPS

ネットワークやシステムへの不正侵入を検知 (IDS) し、自動的に遮断 (IPS) するセキュリティシステムです。

アイデンティティプロバイダー

ユーザーの認証情報を一元管理するサービスです。Okta、Azure AD、Google Workspace などが代表的で、SAML や OIDC を通じて SP にアサーションを発行します。

IP スプーフィング

送信元 IP アドレスを偽装して身元を隠す攻撃手法です。

IP ブロックリスト

悪意ある IP アドレスからのアクセスを拒否するリストです。

アカウント乗っ取り

不正に他人のアカウントへアクセスする攻撃です。クレデンシャルスタッフィング、フィッシング、SIM スワップなど複数の手法があり、メールアカウントの乗っ取りから被害が連鎖的に拡大します。

アクセス制御

ユーザーやシステムがリソースにアクセスできる範囲を管理する仕組みです。

アドウェア

広告を強制表示するソフトウェアで、スパイウェアを兼ねる場合もあります。

Argon2

2015 年の Password Hashing Competition で優勝したパスワードハッシュ関数です。メモリハード設計により GPU や ASIC による並列攻撃に強く、OWASP が最優先で推奨するアルゴリズムです。

暗号化

データを第三者が読めない形式に変換し、情報の機密性を保護する技術の総称です。

インシデントレスポンス

セキュリティ事故発生時の対応手順と体制です。

エアギャップ

ネットワークから物理的に隔離してセキュリティを確保する手法です。

HSM

暗号鍵を安全に保管・処理する専用ハードウェアです。

HSTS

HTTPS 接続を強制するセキュリティヘッダーです。SSL ストリッピング攻撃を防ぎ、Preload List への登録により初回アクセスからの保護も実現します。

API キー

サービス間の認証に使われる文字列です。リクエストの送信元を識別する役割を持ちますが、漏洩すると不正利用されるため、厳格なシークレット管理が求められます。

SSL/TLS

インターネット上の通信を暗号化し、データの盗聴や改ざんを防ぐプロトコルです。

SSO

一度の認証で複数のサービスやアプリケーションにアクセスできる仕組みです。

SQL インジェクション

データベースへの問い合わせに不正な SQL 文を挿入し、データの窃取や改ざんを行う攻撃手法です。

scrypt

メモリハードなパスワードハッシュ関数です。2009 年に Colin Percival が Tarsnap 用に設計し、大量のメモリを要求することで GPU や ASIC による並列攻撃を困難にします。

SBOM

ソフトウェアの構成部品を一覧化した部品表です。米国大統領令 14028 で義務化が進み、Log4Shell 事件を契機にサプライチェーンセキュリティの要として注目されています。

MFA バイパス

多要素認証を回避する攻撃手法の総称です。AiTM 攻撃、MFA 疲労攻撃、SIM スワップ、セッショントークン窃取など複数の手法があり、FIDO2 ベースのフィッシング耐性 MFA が有効な対策です。

エンドツーエンド暗号化

送信者から受信者まで一貫して暗号化し、中間者が内容を読めない通信方式です。

エンドポイントセキュリティ

PC やスマートフォンなどの端末を保護するセキュリティ対策です。従来のアンチウイルスから EDR、XDR へと進化し、振る舞い検知やテレメトリ収集による高度な脅威検出を実現しています。

エントロピー

パスワードの予測困難さをビット数で表す指標で、値が大きいほど総当たり攻撃への耐性が高くなります。

OAuth

パスワードを共有せずに第三者アプリケーションへのアクセス権限を委譲する認可プロトコルです。

OpenID Connect

OAuth 2.0 の上に認証レイヤーを追加したプロトコルです。ID トークン (JWT) によりユーザーの身元を検証でき、Google や Apple のソーシャルログインの基盤技術として広く利用されています。

OSINT

公開情報から収集するインテリジェンスです。SNS、WHOIS、DNS レコードなどが情報源となり、攻撃者の偵察フェーズでも防御側の脅威分析でも活用されます。

カ行

鍵管理

暗号鍵の生成・保管・配布・廃棄を安全に行うプロセスです。

キーロガー

キーボードの入力内容を密かに記録し、パスワードや個人情報を窃取するマルウェアの一種です。

CASB

クラウドサービスへのアクセスを監視・制御するセキュリティソリューションです。可視性、コンプライアンス、データセキュリティ、脅威防御の 4 つの柱でシャドー IT を含むクラウド利用を管理します。

CAPTCHA

人間とボットを区別するための認証テストです。

脅威インテリジェンス

サイバー脅威に関する情報を収集・分析して防御に活用する活動です。

脅威モデリング

システムの脅威を体系的に特定・評価する設計手法です。STRIDE モデルや PASTA フレームワークを用いて、設計段階からセキュリティリスクを洗い出します。

クラウドストレージ

インターネット経由でデータを保存・管理するサービスです。サーバーサイド暗号化とクライアントサイド暗号化の違いを理解し、共有リンクの管理に注意が必要です。

クリックジャッキング

透明な iframe を重ねてユーザーのクリックを乗っ取る攻撃です。X-Frame-Options ヘッダーや CSP の frame-ancestors ディレクティブで防御でき、Likejacking などの亜種も存在します。

クリプトジャッキング

他人のコンピュータリソースを無断で暗号通貨マイニングに利用する攻撃です。マルウェア感染やブラウザスクリプトを通じて行われ、CPU 使用率の異常な上昇が検知の手がかりとなります。

クレデンシャルスタッフィング

漏洩した ID とパスワードの組み合わせを別のサービスに自動入力し、不正ログインを試みる攻撃です。

クレデンシャル漏洩

パスワードやアクセストークンなどの認証情報が外部に流出することです。データベース侵害、フィッシング、マルウェアなど複数の経路で発生し、クレデンシャルスタッフィングの原因となります。

クロスサイトスクリプティング

Web ページに悪意あるスクリプトを注入し、閲覧者のブラウザ上で不正な処理を実行させる攻撃です。

権限昇格

通常のユーザー権限から管理者権限を不正に取得し、システムの制御を奪う攻撃手法です。

公開鍵暗号

暗号化と復号に異なる鍵を使う暗号方式です。RSA や楕円曲線暗号が代表的で、TLS ハンドシェイクやデジタル署名の基盤技術として広く利用されています。

攻撃対象領域

攻撃者がシステムに侵入可能なすべてのポイントの総体です。デジタル、物理、ソーシャルの 3 領域に分類され、この領域を最小化することがセキュリティの基本原則です。

CORS

異なるオリジン間のリソース共有を制御する仕組みです。同一オリジンポリシーの制約を安全に緩和し、プリフライトリクエストによる事前検証で不正なクロスオリジンアクセスを防ぎます。

コードレビュー

ソースコードを他者が検査してバグや脆弱性を発見する品質管理手法です。

個人識別情報

個人を特定できる情報の総称で、PII とも呼ばれます。直接識別子と準識別子に分類され、GDPR や個人情報保護法で厳格な取り扱いが求められます。

コンプライアンス

法令や業界基準に準拠したセキュリティ対策を維持することです。

サ行

最小権限の原則

業務に必要な最小限の権限のみを付与するセキュリティ原則です。

サイバーキルチェーン

サイバー攻撃の段階を 7 フェーズに分類したフレームワークです。Lockheed Martin が 2011 年に提唱し、各段階での防御策を体系的に整理するために使われます。

サイバー保険

サイバー攻撃による損害を補償する保険商品です。

SASE

ネットワークとセキュリティをクラウドで統合するアーキテクチャです。Gartner が 2019 年に提唱し、SD-WAN、CASB、SWG、ZTNA、FWaaS を統合してリモートワーク時代のセキュリティを実現します。

サプライチェーン侵害

ソフトウェアの開発・配布過程に介入して悪意あるコードを混入させる攻撃です。

SAML

XML ベースのエンタープライズ SSO 標準です。IdP と SP 間でアサーションを交換して認証を行い、レガシーシステムとの互換性が高い一方、XML 署名ラッピング攻撃への対策が必要です。

サンドボックス

プログラムを隔離された環境で実行し、システム全体への影響を防ぐセキュリティ技術です。

CSRF

ユーザーの認証済みセッションを悪用して不正なリクエストを送信させる攻撃です。

CSP

Web ページで実行可能なリソースを制限するセキュリティヘッダーです。XSS 攻撃の緩和に有効で、script-src や style-src などのディレクティブでリソースの読み込み元を制御します。

GDPR

EU の個人データ保護に関する包括的な規則です。

CVE

公開された脆弱性に一意の識別番号を付与する国際的な命名規則です。

SIEM

セキュリティイベントを一元的に収集・分析して脅威を検知するシステムです。

JWT

トークンベースの認証・認可に使われるコンパクトなデータ形式です。Header、Payload、Signature の 3 パートで構成され、ステートレスな認証を実現しますが、失効管理の難しさに注意が必要です。

事業継続計画

災害時にも事業を継続するための計画と体制です。

辞書攻撃

よく使われる単語やフレーズのリストを用いてパスワードを推測する攻撃手法です。

SIM スワッピング

携帯電話の SIM カードを不正に再発行して SMS 認証を乗っ取る攻撃です。

シャドー IT

IT 部門の承認なく従業員が独自に利用する IT サービスやデバイスの総称です。データ漏洩やコンプライアンス違反のリスクを生み、アカウント管理の死角を作ります。

証明書透明性

SSL/TLS 証明書の発行を公開ログに記録する仕組みです。Google が 2013 年に提唱し、DigiNotar 事件を契機に不正証明書の検知を可能にしました。Chrome では 2018 年から CT が必須化されています。

ショルダーサーフィン

他人の肩越しに画面やキーボード入力を覗き見てパスワードなどの機密情報を盗み取る行為です。

シングルサインオン

1 回の認証で複数のサービスにアクセスできる仕組みです。SAML や OpenID Connect を基盤とし、パスワード疲れの解消に有効ですが、IdP が単一障害点になるリスクがあります。

スパイウェア

ユーザーの行動や個人情報を密かに収集し、外部に送信するマルウェアの一種です。

スピアフィッシング

特定の個人や組織を狙い、事前に収集した情報を使って巧妙に仕掛けるフィッシング攻撃です。

スプリットトンネリング

VPN 接続時に一部の通信のみ VPN を経由させる設定です。

スミッシング

SMS を利用したフィッシング攻撃です。メールより開封率が高く、宅配便不在通知を装った手口が日本で急増しています。RCS メッセージングの普及で新たなリスクも生まれています。

脆弱性

ソフトウェアやシステムに存在するセキュリティ上の欠陥で、攻撃者に悪用される可能性がある弱点です。

生体認証

指紋、顔、虹彩など身体的特徴を用いて本人確認を行う認証方式で、パスワードの代替や補完に使われます。

責任ある開示

脆弱性を発見した際にベンダーに先に通知し、修正後に公開するプロセスです。90 日ルールが一般的で、Google Project Zero の影響により業界標準として定着しました。

セキュアコーディング

脆弱性を作り込まないためのプログラミング手法と原則です。

セキュアブート

起動時にファームウェアと OS の改ざんを検証する仕組みです。UEFI ファームウェアの鍵階層に基づき、ブートキットやルートキットによる起動プロセスの乗っ取りを防ぎます。

セキュリティ意識向上

組織や個人のセキュリティリテラシーを高める取り組みです。フィッシングシミュレーションやゲーミフィケーションを活用した実践的な教育が、従来型の年 1 回研修に代わって主流になっています。

セキュリティ監査

組織のセキュリティ対策の有効性を第三者が評価する活動です。

セキュリティキー

FIDO2/U2F 対応のハードウェア認証デバイスです。オリジン検証によるフィッシング耐性が高く、パスキーと異なりデバイスに固定されるため物理的な所持が認証の証拠となります。

セキュリティトークン

認証時に使用する物理デバイスまたはソフトウェアで、ワンタイムパスワードの生成や暗号鍵の保管に用います。

セッショントークン

ログイン後のユーザーを識別するために発行される一時的な認証情報です。Cookie や JWT として管理され、窃取されるとセッションハイジャックの原因となります。

セッションハイジャック

有効なセッション ID を窃取または推測し、正規ユーザーになりすましてサービスを不正利用する攻撃です。

ゼロ知識証明

情報を明かさずに知識の保有を証明する暗号技術です。パスワードを送信せずに認証する仕組みや、ゼロナレッジ暗号化サービスの基盤として注目されています。

ゼロデイ攻撃

修正パッチが提供される前の未知の脆弱性を悪用する攻撃で、防御が極めて困難です。

ゼロトラスト

ネットワークの内外を問わず、すべてのアクセスを信頼せず検証するセキュリティモデルです。

ソーシャルエンジニアリング

技術的な手段ではなく、人間の心理的な隙を突いて機密情報を引き出す攻撃手法の総称です。

ソーシャルログイン

Google や Apple などの SNS アカウントを使って外部サービスにログインする仕組みです。OAuth 2.0 や OpenID Connect を基盤とし、利便性が高い反面、権限の過剰付与やプライバシーのリスクがあります。

SOC

組織のセキュリティを 24 時間体制で監視・対応する専門チームです。

ソルト

パスワードのハッシュ化時に付加するランダムなデータで、同一パスワードでも異なるハッシュ値を生成させます。

タ行

ダークウェブ

通常のブラウザではアクセスできない匿名性の高いネットワーク空間で、漏洩情報の売買にも利用されます。

ダークパターン

ユーザーを意図しない行動に誘導する欺瞞的な UI デザインです。サブスクリプションの解約困難化や Cookie 同意バナーの操作など、プライバシーやセキュリティ設定にも影響を及ぼします。

タイポスクワッティング

正規ドメインの打ち間違いを狙って偽サイトを設置する攻撃です。

多層防御

複数のセキュリティ対策を重ねて単一障害点を排除する戦略です。

多要素認証

知識・所持・生体の 3 要素のうち 2 つ以上を組み合わせて本人確認を行う認証方式です。

中間者攻撃

通信の送信者と受信者の間に割り込み、データの盗聴や改ざんを行うサイバー攻撃です。

通信時暗号化

ネットワーク上を流れるデータを暗号化して盗聴を防ぐ技術です。

DNS over HTTPS

DNS クエリを HTTPS で暗号化してプライバシーを保護するプロトコルです。

DNS スプーフィング

DNS の応答を偽装して偽サイトに誘導する攻撃です。

DNS フィルタリング

DNS クエリを利用して悪意あるサイトへのアクセスをブロックする技術です。フィッシングサイトやマルウェア配布サイトを DNS レベルで遮断し、子どものインターネット安全にも活用されます。

DMZ

内部ネットワークと外部ネットワークの間に設置する緩衝地帯です。

TOTP

時刻に基づいて一定間隔で変化するワンタイムパスワードを生成する認証方式で、二段階認証に広く使われます。

DDoS 攻撃

大量のリクエストを送りつけてサーバーやネットワークを過負荷状態にし、サービスを停止させる攻撃です。

TPM

ハードウェアベースのセキュリティチップで、暗号鍵の生成・保管やセキュアブートの検証を担います。Windows 11 で TPM 2.0 が必須化され、BitLocker やパスキーの基盤技術として重要性が高まっています。

ディープフェイク

深層学習技術を用いて音声や映像を精巧に偽造する技術で、なりすまし詐欺に悪用されるリスクがあります。

DMARC

ドメインベースのメール認証プロトコルです。SPF と DKIM の検証結果を統合し、なりすましメールの処理方法をドメイン所有者が制御できる仕組みを提供します。

ディザスタリカバリ

災害やシステム障害からの復旧計画と手順です。

データ最小化

目的に必要な最小限のデータのみを収集・保持する原則です。GDPR 第 5 条で明文化され、漏洩時の被害縮小とプライバシー保護の両面で効果を発揮します。

データ分類

情報の機密度に応じてデータを分類し、適切な保護レベルを適用する手法です。

データマスキング

機密データを匿名化・仮名化して安全に利用する技術です。

データ漏洩

組織が保有する機密情報や個人情報が、不正アクセスや設定ミスにより外部に流出する事故です。

テールゲーティング

正規の入室者に続いて不正に入室する物理的侵入手法です。ソーシャルエンジニアリングの物理版であり、マントラップやアンチパスバックなどの対策が有効です。

デジタル証明書

公開鍵の所有者を証明する電子的な身分証です。X.509 規格に基づき、認証局が発行します。Let\

デジタル署名

公開鍵暗号を用いてデータの改ざん検知と送信者の認証を行う技術です。

デジタルフォレンジック

デジタル証拠の収集・保全・分析を行う技術です。証拠保全の原則 (Chain of Custody) に基づき、インシデント対応や法的手続きに必要な証拠を確保します。

DevSecOps

開発プロセスにセキュリティを組み込む手法です。CI/CD パイプラインに SAST、DAST、SCA を統合し、脆弱性を開発の早期段階で発見・修正するシフトレフトの考え方を実践します。

Tor

多層暗号化による匿名通信ネットワークです。米海軍研究所で開発され、3 つのリレーノードを経由することで通信元の匿名性を確保します。ダークウェブへのアクセス手段としても知られています。

トークナイゼーション

機密データを無意味なトークンに置換して保護する手法です。

匿名化

個人を特定できないようにデータを不可逆変換する技術です。仮名化と異なり元に戻せないため、GDPR では匿名化データは規制対象外となります。差分プライバシーが最新の手法として注目されています。

ドライブバイダウンロード

Web ページを閲覧しただけでマルウェアに感染する攻撃です。エクスプロイトキットやマルバタイジングを通じて行われ、ブラウザのサンドボックスとパッチ管理が主要な防御策となります。

トロイの木馬

正規のソフトウェアを装ってシステムに侵入し、バックドアの設置や情報窃取を行うマルウェアです。

ナ行

内部脅威

組織内部の人間が意図的または過失によって引き起こすセキュリティ脅威です。正規のアクセス権限を持つ人物が起点となるため、境界防御では検知が困難な点が特徴です。

二重脅迫

データの暗号化と情報公開の両方で脅迫するランサムウェア手法です。2019 年の Maze ランサムウェアが先駆けとなり、バックアップだけでは対策不十分な新たな脅威として定着しました。

二段階認証

パスワードに加えてもう 1 つの認証要素を組み合わせることで、不正アクセスを防ぐセキュリティ手法です。

認証局

デジタル証明書を発行・管理する信頼された第三者機関で、通信相手の正当性を保証します。

ネットワーク分離

ネットワークを論理的に分割して攻撃の横展開を防ぐ手法です。

ハ行

バグバウンティ

脆弱性の発見者に報奨金を支払うセキュリティプログラムです。

パスキー

パスワードの代わりに公開鍵暗号を用いて認証を行う、 FIDO2 標準に基づくパスワードレス認証方式です。

パスキー同期

パスキーを複数デバイス間で同期する仕組みです。iCloud キーチェーンや Google パスワードマネージャーがエンドツーエンド暗号化で秘密鍵を同期し、デバイス紛失時のリカバリーを容易にします。

パスフレーズ

複数の単語を組み合わせて構成する長いパスワードです。ランダムな文字列より覚えやすく、十分な長さを確保すればエントロピーも高くなるため、マスターパスワードなどに適しています。

パスワードスプレー

少数のよく使われるパスワードを多数のアカウントに試行する攻撃です。

パスワード疲れ

多数のパスワード管理に起因する心理的負担です。使い回しや単純化といった危険な行動を誘発し、パスワードマネージャーやパスキーによる解消が求められています。

パスワードハッシュ化

パスワードを不可逆変換して保存する技術です。平文保存の危険性を排除し、ソルトとストレッチングを組み合わせることで、漏洩時のオフライン攻撃に対する耐性を確保します。

パスワードポリシー

組織やサービスが定めるパスワードの作成・管理に関するルールで、最低文字数や文字種の要件を規定します。

パスワードマネージャー

複数のパスワードを暗号化して一元管理し、安全な生成・自動入力を行うソフトウェアです。

パスワードレス認証

パスワードを使わずに本人確認を行う認証方式の総称です。パスキー、セキュリティキー、マジックリンク、生体認証などの実装があり、パスワードの根本的な問題を解消します。

パスワードローテーション

定期的にパスワードを変更する運用です。NIST SP 800-63B で非推奨となり、漏洩確認時の即時変更を中心としたイベントドリブン型への転換が進んでいます。

バックアップ

データの複製を別の場所に保存することです。3-2-1 ルールに基づく設計が推奨され、ランサムウェア対策としてオフラインバックアップの重要性が高まっています。

バックドア

正規の認証を迂回してシステムにアクセスするための隠された経路で、攻撃者が不正侵入に利用します。

ハッシュ

任意の長さのデータを固定長の値に変換する一方向関数で、パスワードの安全な保存に使われます。

パッチ管理

ソフトウェアの修正プログラムを計画的に適用して脆弱性を解消する運用です。

ハニーポット

攻撃者をおびき寄せて手口を分析するための囮システムです。

bcrypt

Blowfish ベースのパスワードハッシュ関数です。1999 年に設計され、コストファクターによる計算量調整とソルトの自動生成を備えた、長年にわたり信頼されてきたアルゴリズムです。

PKI

公開鍵暗号基盤。デジタル証明書の発行・管理・検証を行う仕組みです。

PBKDF2

パスワードから暗号鍵を導出する関数です。NIST SP 800-132 で標準化され、Wi-Fi WPA2 でも採用されていますが、GPU 耐性の低さから Argon2 や bcrypt への移行が推奨されています。

PKCE

OAuth 2.0 の認可コード横取りを防ぐ拡張仕様です。code_verifier と code_challenge のペアにより、パブリッククライアントでも安全に認可コードフローを利用でき、OAuth 2.1 で必須化されます。

ビジネスメール詐欺

企業の経営者や取引先を装ったメールで送金や機密情報を騙し取る詐欺です。FBI の統計では累計被害額が 500 億ドルを超え、AI によるディープフェイクとの融合で手口が高度化しています。

ビッシング

電話を利用したフィッシング攻撃です。銀行員やテクニカルサポートを装う手口が典型的で、AI 音声合成による発信者番号偽装と組み合わせた高度な攻撃が増加しています。

ファイアウォール

ネットワーク通信を監視し、設定されたルールに基づいて不正なアクセスを遮断するセキュリティ機構です。

FIDO/WebAuthn

パスワードに依存しない認証を実現するための国際標準規格です。公開鍵暗号を用いてフィッシング耐性の高い認証フローを提供し、パスキーの技術基盤となっています。

ファイルレスマルウェア

ディスクにファイルを書き込まずメモリ上で実行されるマルウェアです。PowerShell や WMI など正規ツールを悪用する Living off the Land 手法により、従来型アンチウイルスでは検知が困難です。

ファジング

ランダムまたは異常なデータを入力してソフトウェアの脆弱性を発見するテスト手法です。

フィッシング

正規のサービスを装った偽サイトやメールでユーザーの認証情報を騙し取るサイバー攻撃の手口です。

フィッシング耐性 MFA

フィッシング攻撃で突破できない多要素認証です。CISA が推奨し、FIDO2/WebAuthn や PKI ベースの方式が該当します。AiTM 攻撃や MFA 疲労攻撃にも耐性があります。

VPN

通信を暗号化した仮想的な専用回線を構築し、安全にデータをやり取りする技術です。

プライバシーバイデザイン

設計段階からプライバシーを組み込む原則です。Ann Cavoukian 博士が提唱した 7 原則に基づき、GDPR 第 25 条で法的義務として明文化されています。

ブラウザフィンガープリント

ブラウザの設定や環境情報からユーザーを識別する技術です。Cookie と異なり削除できず、不正検知に有用な一方でプライバシー侵害のリスクもあります。

プリテキスティング

架空のシナリオを作り上げて情報を引き出すソーシャルエンジニアリング手法です。IT サポートや人事部を装う手口が典型的で、BEC の前段階として使われることも多い攻撃です。

ブルートフォース攻撃

パスワードの全組み合わせを総当たりで試行し、正解を見つけ出す力任せの攻撃手法です。

プロキシ

クライアントとサーバーの間に立つ中継サーバーです。フォワードプロキシとリバースプロキシに大別され、コンテンツフィルタリングやキャッシュ、負荷分散に利用されます。

ペネトレーションテスト

攻撃者の視点でシステムの脆弱性を検証する実践的なセキュリティ評価手法です。

ホエーリング

企業の経営層や幹部を標的にした高度なフィッシング攻撃で、大規模な金銭被害や情報漏洩を狙います。

ポートスキャン

ネットワーク上の開放ポートを探索して脆弱性を発見する偵察行為です。

保存時暗号化

ストレージに保存されたデータを暗号化し、物理的な盗難やディスクの不正読み取りから保護する技術です。

ボットネット

マルウェアに感染した多数のコンピュータを遠隔操作し、 DDoS 攻撃やスパム送信に悪用するネットワークです。

マ行

マジックリンク

メールで送信される一回限りのログインリンクです。Slack や Notion で採用され、パスワード不要の手軽さがある一方、メールアカウントのセキュリティに依存するためフィッシング耐性はありません。

マルウェア

コンピュータに害を与える目的で作成された悪意あるソフトウェアの総称で、ウイルスやトロイの木馬などを含みます。

水飲み場攻撃

標的が頻繁に訪れる Web サイトを改ざんしてマルウェアを配布する攻撃です。

メール認証

SPF、DKIM、DMARC による送信ドメインの正当性検証です。Google と Yahoo が 2024 年に大量送信者への設定を義務化し、BIMI によるブランドロゴ表示も普及が進んでいます。