APIセキュリティ用語集

貴社のコンピュータシステムにさまざまなアプリが入ってくることは、決してあってはならないとご存知でしたか？その中の一つがトロイの木馬です。トロイの木馬は、最も安全なシステムであっても、セキュリティ全体を危うくする可能性があります。トロイの木馬は、システムに侵入し、通常または無害なアプリに偽装して現れる強力なマルウェアです。このマルウェアは、その侵入方法にちなんでこのように呼ばれています。この種のマルウェアにおいては、開発者がシステムに悪影響を及ぼす有害なコードを隠すために、特別な技術を用います。しかし、トロイの木馬がシステム内に存在しなければ無害です。とはいえ、アプリ内に侵入すると、設計された通りにシステムに被害を与え始めます。

バッファは、異なる場所へデータを移動する際に一時的に格納するための物理メモリ領域です。バッファはRAM内に配置されます。コンピューターはパフォーマンスを向上させるためにバッファを使います。多くの最新のハードドライブはバッファリングを備えていて、データにスムーズにアクセスできるようにしています。バッファを活用するアプリが増えたことで、この仕組みはさらに一般的になりました。一方で、バッファは過剰な情報で溢れる可能性があります。バッファオーバーフロー攻撃は、さまざまなシステムを狙うことができ、ハッカーはシステムのバッファを過負荷にして攻撃を実行します。システムが新しいデータ領域を作ろうとした際に、ハッカーが悪意のあるコードを仕込むことでプログラムの動作に影響を与えるおそれがあります。

今日の驚くべきデジタル世界を支えているのはプログラマーです。トレンドを先取りしている方であれば、プログラマーにもさまざまな種類があることをご存じかもしれません。これらはブラックハット、ホワイトハット、そしてディムハットのように分類されます。この名称は昔の西部劇に由来しており、ヒーローが白い帽子をかぶり、悪役が黒い帽子をかぶっていたことが背景です。同様の発想で、ブラックハットハッカーとは、情報を盗んだり破壊行為を行ったりする目的でコンピューターネットワークに侵入する存在です。彼らは重要な文書を削除するマルウェアや、ユーザーがコンピューターにアクセスできなくなるランサムウェアを送り込む場合もあります。ブラックハットハッカーは特に理由もなくシステムを攻撃することもあり、金銭目的や報復、損害を与えるなど、自分勝手な動機を持つことが多いです。

ブラックリスト化とは、特定の機器やネットワークが貴社のコンピュータと接続できなくなる管理上の措置です。ブラックリストの目的は、外部からの攻撃による破壊を未然に防ぐことにあります。機器やネットワークがブラックリストに登録されると、貴社のシステムとあらゆる接続ができなくなります。この種の脆弱性防止策は、過去の事例を踏まえ将来の脅威に対処する上で有用です。悪意あるネットワークとの接続によって脆弱性が発生した場合、ブラックリストが再発を防ぎます。ユーザーもブラックリストに追加され、システムへのアクセスや機能の利用が制限される場合があります。対象者、ユーザー、ネットワークをブラックリスト化する際は、活動記録を明確にしておくと良いです。

ブルートフォース攻撃またはブルートパワー攻撃は、攻撃者が多数のパスワードやパスフレーズを試して、制限されたシステムへ無理にアクセスを試みる手法です。攻撃者は、正しい組み合わせを見つけるために様々なパスワードやパスフレーズを入力します。システムは考えられる全てのパスワードの組み合わせを試し、正解が出るまで続けられます。また、攻撃者は鍵導出処理を用いて、パスワードから生成される鍵を算出しようとする場合もあります。この場合、ブルートフォース攻撃は総当たり探索とも呼ばれます。暗号が十分でない場合、ブルートフォース攻撃でどんなデータも解読される可能性があります。短いパスワードなら短期間で突破される一方、長いパスワードでは時間がかかります。攻撃者に解読されにくくするため、パスワードやパスフレーズは複雑に作ることが有効です。

コンピューター化されたボットは、別の種類の機器を支援する特殊なソフトウェアです。ボットは有益な目的にも悪意のある目的にも使用されることがあります。高性能なボットは難しい作業を行うことができ、マルウェアボットは厳しいセキュリティプロトコルを回避するように設計されています。ボットはスパム送信やスパイ行為、ハッキング、侵入、安全なシステムからの情報窃取などに使われることがあり、悪意のある人物らによってシステムへの攻撃を自動かつ継続的に行うためにも使われます。 

インターネットボットはインターネット上で動作し、そのリソースを使って特定の指示を実行する製品です。ボットは自動化されているため、人間よりも速く作業を行うことができます。組織のさまざまな部分に導入すると、コンテンツの転送やページの連結、顧客とのやり取り、貴社のシステムの脆弱性を探すことなどに活用できます。有益なボットは、多くの作業負担を貴社の従業員から軽減してくれる便利なプログラムです。

コンピューター化されたボットは、他の機器を支援する特殊なソフトウェアです。ボットは有益にも悪意にも利用されます。強力なボットは複雑な作業をこなし、マルウェアボットは厳重なセキュリティプロトコルを回避するように設計されています。ボットはスパム送信、スパイ活動、ハッキング、不正侵入、機密情報の窃取などに使われることがあります。悪意ある人々がボットを使ってシステムへの自動かつ継続的な攻撃を行う場合もあります。 

インターネットボットは、インターネット上で動作し、必要なリソースを使って特定の指示を実行するものです。ボットは自動化されているため、人間よりも高速に作業できます。組織のさまざまな部分にボットを導入し、コンテンツの転送やページのリンク、顧客とのやりとり、企業のシステムの脆弱性の探索などに利用できます。有益なボットは従業員の作業負担を大幅に軽減する便利なプログラムです。

大量暗号化またはエンコーディングは、ネットワークを暗号化・復号化する新しいタイプの通信セキュリティです。この方式は、システムからデータが出るときに暗号化し、システムに再度受け入れる前に復号化することで、双方向の守りを想定しています。さらにセキュリティを高めるために、ネットワーク上の各ルーティングポイントでデータを復号化し、最終的な場所に到達するまで繰り返します。こうした仕組みにより、データパックに潜むボトルネックを即座に見つけられます。絶え間ない暗号化と復号化のプロセスは、ルーティングポイントを経由するデータの流れを円滑にするために不可欠です。この手法は、ヘッダーやルーティング情報を考慮しないエンドツーエンド暗号化とは異なります。大量暗号化を利用する主な利点は2つあります。まず、ヒューマンエラーの発生を減らす自動的なセキュリティ対策が挙げられます。人の手で暗号化を行うと、誤って特定のモジュールを暗号化し忘れる恐れがあります。しかし、自動化されたシステムは稼働し続けます。サイトの通信量が変動していても同様です。

悪意ある攻撃1つで、多くのシステムは停止させられる可能性があります。危険の種類とその始まりが見極められれば、対処が可能になります。一方、単独の悪意攻撃より手強いのは何でしょうか。混在脅威、すなわち複合攻撃は、特に対処が難しい攻撃です。混在脅威の考えは、長い間コンピュータを悩ませ続けています。混在脅威とは、システムのさまざまな弱点を狙う複数の攻撃の組み合わせと定義できます。システムに対して、他の助力を借りずに攻撃を仕掛け、危険を拡大させるあらゆる種類のプログラムが含まれます。詐欺も混在脅威の一例です。通常、混在脅威は少なくとも2種類の攻撃で構成されます。実際には、同じ種類の攻撃を複数組み合わせたものもあります。技術力に優れたプログラマが仕掛けるデジタル攻撃は、混在脅威のように見える場合もあります。近年、オンライン攻撃は計画性が高まり、実際のシステムにも影響を与えるようになりました。Triton、Trisis、Stuxnetといったマルウェアは、実際のシステムに影響を与え得る混在脅威の具体例です。現代では、こうした危険を対処し、システムを守るための高度な対策が開発されています。

CISO（chief information security officer または central data security officer）は想像以上に重要な役職です。この役職は組織の上級幹部にあたり、追加の承認を待たずに意思決定を行えます。CISOの役割は、組織のビジョンを策定し、それを維持しながら組織としてのアイデンティティを確立することです。また、組織のスタッフが利用する情報や技術をしっかり守る責任があります。CISOはスタッフが厳格なセキュリティ対策を特定・開発・実施し、ICTリスクを減らせるよう支援します。CISOはインシデントへの対応、セキュリティ基準の策定、組織の活動を守るセキュリティ機能の維持にも責任を負います。データコンプライアンスはあらゆる組織に欠かせない要素であり、CISOは関連コンプライアンスが確実に守られているかを確認します。CISOは自部門の倫理観や振る舞いを維持しながら、他の上層部と連携して組織を前進させます。CISOは組織で採用される総合的なセキュリティ方針にとって欠かせない存在です。

チーフセキュリティオフィサー（CSO）は、セキュリティ戦略や方針の策定・実行を担う役職です。この役職は、コンプライアンス、オペレーション、戦略、財務面のリスクに対応する方針やプログラムを策定し、人材や知的資産、物的資産を守る責任を担います。CSOは組織の経営陣に対して責任を負う立場として採用され、組織内のセキュリティを監督し、複数のスキャンを実施して外部からの侵入を防ぎます。また、潜在的なインシデントを減らし、外部からの脅威にさらされるリスクを最小化するために他のスタッフを指揮し、ローカル、国内、国際的な要件を満たすようにコンプライアンスを保証します。さらに、新しいセキュリティアップデートを調査し、最新のソリューションを取り入れてセキュリティを強化します。

クロスサイトリクエストフォージェリは、ワンクリック攻撃とも呼ばれ、サイトに対して特有の攻撃を行います。この攻撃では、信頼しているクライアントからシステムへ悪意ある命令が送られます。命令は、画像のURL、保存されたデータ、またはJavaScriptによるXMLベースのHTTPリクエストなど、複数の方法で伝達されることがあります。クライアントの知識や同意、協力なしに実行されるため、注意が必要です。攻撃者がクライアントの認証情報や過剰なアクセス権に近い状態に達すると、攻撃が開始されます。つまり、攻撃者がクライアントを騙して意図せずリクエストを送らせることで、攻撃が成立します。この結果、サイト上で予期しない操作が起こり、規模を問わず情報漏洩につながる可能性があります。さらには、攻撃者がクライアントのアカウントを利用して、サイトへ不正な変更を加える恐れもあります。CSRFという用語は、このような攻撃への対策も意味し、ユーザー名、ヘッダー情報、またはトークンを活用してこれらの攻撃を検証・防止する手法を含みます。検証プロセスを通して正当な操作やセッション管理を行うことで、クロスサイト偽造攻撃を防ぐことが可能です。

CitadelはZeusフレームワークをベースにした、広く拡散しているマルウェアです。攻撃システムを稼働するよう設計されており、とても危険です。一度システムに侵入すると、パスワードマネージャーを狙って重要なデータを復号します。たとえば、neXus Security Client、Keepass、Password Safeなどが対象となります。このマルウェアは2011年に初めて確認され、それ以来世界中に広がりました。2017年時点で、Citadelは世界中で約1100万台のコンピューターに感染し、累計で5億ドルの被害をもたらしました。有名なウイルスですが、開発者についてはほとんどわかっていません。わかっているのは、あるグループがこのマルウェアを開発して世界に放ったということだけです。次にどのコンピューターが感染するかは不明です。2017年3月、ロシアのコンピューター科学者マイク・ヴァタニャンがコンピューター詐欺とサイバー犯罪の罪で有罪を認めました。これは、悪名高いCitadelマルウェアの開発に関わっていたと自白したためです。マイクはウイルスのコントロールパネルを開発した人物です。

CoAP、つまりConstrained Application Protocol (CoAP) は、制限されたデバイス向けのユニークなウェブアプリプロトコルです。RFC 252 で定義されています。このプロトコルは制限されたデバイス（ハブと呼ばれる）が特別なプロトコルを使ってウェブ上のさまざまな要素と通信できるように設計されています。これは、制限されたネットワークにあるデバイス同士が接続して通信できることを保証します。また、ウェブに接続している一般的なハブや、さまざまな制限されたネットワークにあるデバイス間でも相互接続をサポートします。CoAPは、モバイル通信ネットワークでサポートされるSMSアプリなど、多様なシステムやプロセスにも使われます。この制約されたプロトコルは、ワイヤレスセンサーネットワークのハブなどリソースが限られたネットワークで使えるサービスレイヤープロトコルです。この仕組みはHTTPの解釈と最適化を簡単にし、ウェブへ円滑に組み込めるようにしています。また、低オーバーヘッドやマルチキャスト対応、シンプルさなどの特別な要件にも準拠しています。CoAPプロトコルは非常に有用であり、世界中での利用とユースケースが増えつつあります。

悪意あるコンピュータの要素が連携し、貴社のシステムを停止させる恐れがあります。Crimewareは、サイバー犯罪を自動で行うために設計された独特のマルウェアです。Crimewareをスパイウェアやアドウェアと混同しないよう注意が必要です。Crimewareの目的は、ハッカーがソーシャルエンジニアリング手法を用いて個人情報窃盗を実行できるようにすることです。これらの悪意あるプログラムは、システム内に隠れ、コンピューターの金融アカウントに侵入して資金を盗む場合もあります。ハッカーによっては、Crimewareがシステムから機密情報を盗むために設計されることもあります。Crimewareは、コンピュータシステムやネットワークにとって新たな独特の挑戦です。Crimewareという用語は、2005年2月にDavid Jevansが命名しました。それ以降、脅威は拡大し続けています。今日、インターネット上には様々な例が見られます。信頼できないソースからのダウンロードは避け、定期的にソフトウェアを更新してください。

システムにはさまざまな種類のマルウェアが入り込む可能性があります。侵入すると、それぞれがパソコンに異なる影響を及ぼします。一般的なマルウェアからファームウェア、ランサムウェアまで、さまざまなタイプがあります。暗号化型のランサムウェアであるCryptoLockerは、ユーザーデータを暗号化して人質にとります。この行為によってファイルにアクセスできなくなり、必要な時にファイルを開けないと組織に大きな損失を招くおそれがあります。個人や企業のPCの重要データが身代金としてとられてしまう可能性もあります。こうした暗号ストレージから抜け出すためには、要求された料金を支払うよう求められます。いったんランサムウェアがシステムに侵入すると、少しずつ広がり、やがて従業員アカウントやデータベースを狙います。このような問題は、必要な情報へのアクセスができなくなるため、非常に不安です。実際、ランサムウェアで熟練ハッカーが毎年数十億ドルもの利益を得ているとも報告されています。彼らは機密データを確保し、アクセスするには支払いをせざるを得ない状況にします。経験豊富なハッカーはシステム全体をロックし、利用者を完全に締め出す場合もあります。データベースを扱う企業は、ランサムウェア攻撃の被害に遭うことがよくあります。

コンピュータシステム上の脆弱性には様々な種類と特性が存在します。キャッシュクラミングは、貴社のシステムを悩ませる最も一般的な問題の一つです。キャッシュクラミングは、コンピュータが悪意のあるファイルを実行する操作を伴います。通常、コンピュータはこのような悪意あるファイルを実行しません。しかし、悪意あるハッカーによってシステム内に隠されることがあります。キャッシュクラミングが行われると、ブラウザキャッシュ内の小さなプログラムが実行され、ハッカーは開放されたポートに侵入し、脆弱なコンピュータにアクセスすることが可能になります。例えば、感染したウェブサイトを訪れた際に、アプリやJavaコードがシステムに組み込まれる場合が挙げられます。悪意あるコードはポートスキャナーに偽装し、背景で実行された上で、貴社のシステムをスキャンして他の脆弱性や開放されたポートを探し始める可能性があります。こうした脆弱な部分から盗まれた情報は、最終的にハッカーへと送られます。

クロスサイトスクリプティングは、その奥行きと複雑さゆえに独特の脆弱性です。クロスサイトスクリプティングを細かく見ていくと、無限に広がる可能性に満ちた世界が存在することに気づきます。利用者や専門家に馴染みのあるさまざまなXSSの種類があります。HTMLインジェクションに関して話題になるXSSの危険性は、その一部にすぎません。XSS攻撃によって、APIの安全性が脅かされ、悪意ある攻撃者がセキュリティプロトコルを破りやすくなる可能性もございます。クロスサイトスクリプティング攻撃は、開発者がユーザ入力を検査やフィルタリングせずにページに追加することで発生します。ホワイトリストによるフィルタリングは、ネットワークをチェックし脆弱性を特定します。ブラックリストベースのフィルタリングは、トラフィックを監視しシステムの安全性を脅かす入力をブロックします。フロントエンドにデータを導入する前に、必ずデータを無害化するのは信頼できるセキュリティ手法です。

コンピューターの悪用（サイバー犯罪とも呼ばれます）は、悪意あるネットワークがコンピューターシステムへ侵入することで起こる高度な犯罪行為です。コンピューターが悪用されると、システム自体が標的になったり、攻撃の手段として使われたりします。サイバー犯罪は重要な財務データを含む情報技術システムを麻痺させます。コンピューターの悪用によってさまざまなプライバシー面の懸念が生じています。通常の犯罪にも、コンピューター悪用の要素が加わるようになっており、その結果、対処がより難しくなり、破壊力も増しています。コンピューターの悪用は国境を超えて発生しています。現在、世界各国が連携してサイバー犯罪の防止に取り組んでいます。戦略国際問題研究所（CSIS）がMcAfeeと共同で出した統計によると、コンピューターの悪用による損失は年間約6億ドルにのぼります。これは世界のGDPの1％に相当します。

コード注入の脆弱性は、どのシステムにも攻撃を及ぼす可能性があります。攻撃者は、コンピュータの守りを突破する独自の手法を編み出してきました。フロントエンドからシステムに入力されるデータの検査を怠ると、コンピュータがコード注入攻撃の対象になる恐れがあります。システムに必要な条件がすべて整っているか確認することが大切です。APIリクエストも、アクセスが許可される前に検証と確認が必要です。この手順は、データをシステムに受け入れる前に欠かせません。API利用時のユーザーの活動にも注意を払ってください。悪意ある攻撃者は、外部からITシステムに侵入するのが難しいことを熟知しています。しかし、サードパーティのアプリのファイルアップロードなど、単純な操作が前例のないリスクをもたらす場合があります。コード注入の脆弱性を防ぐ最善の方法は、システムに入力されるすべてのコンテンツを検査することです。疑わしいものが見つかった場合は、排除してください。

サイバー攻撃とは、コンピューターの情報システムやネットワーク、接続されたデバイスを狙う敵対的な手法です。これは、悪意ある攻撃者がコンピューターシステムにアクセスするために行うオンラインおよびオフラインのあらゆる試みを含みます。サイバー攻撃者とは、コンピューターシステム上の制限された情報にアクセスを試みる個人を指します。サイバー攻撃の種類はハッカーの技術力によって異なります。貴社のシステムがさらされる可能性があるサイバー攻撃には、さまざまな手口があります。攻撃の種類や規模によっては、大規模なサイバー戦やサイバーテロ行為となる場合があります。このような攻撃は、主権国家が特別な戦術として実行することもあります。また、正体不明の組織が貴社のシステムを狙うケースもあります。サイバー攻撃を円滑に行うために用いられる道具類は「サイバー兵器」と呼ばれます。サイバー攻撃は、標的の脆弱性を突いて情報を奪ったり、破壊や改ざんを行ったりすることが可能です。こうした悪意ある攻撃の規模は、コンピューターシステムへの単純なスパイウェアの導入から国家のネットワーク基盤を停止させるような大規模なものまでさまざまです。大がかりなサイバー攻撃を仕掛けるには、高度なスキルを持つハッカーと豊富なリソースが必要です。

認証情報詰め攻撃は、おそらく最も歴史のある情報流出手法です。その有効性により、現在でも実際に使われています。調査によると、53％の利用者がウェブアカウントで同じ秘密情報を使い回しています。ログイン資格情報が漏れると、攻撃者は同じ情報で複数のサイトやアプリに侵入できるようになります。認証情報詰め攻撃により、攻撃者はメールアカウント、オンラインストア、医療サービスなどへ不正アクセスを試みます。この攻撃は、不正者が大量のユーザー名とパスワードを収集し、自動化された仕組みで他のウェブアプリに流し込むという、特殊なサイバー犯罪です。もし複数のサイトで同様の資格情報を使用している場合、認証情報詰め攻撃の危険が考えられます。攻撃者は不正購入、情報窃盗、データ持ち出し、フィッシング攻撃など、さまざまな目的でこの手法を用いる可能性があります。この脆弱性は、同じ情報を複数のサイトで使用する利用者に影響を及ぼします。固有のパスワードを用いることは、侵入されにくくするための有効な対策です。多くのパスワードを覚えるのが難しい場合は、記録する方法も検討してください。

望ましくないアクセスは、貴社のシステムで大きな問題となることがあります。許可されていないアクセスによって、データ漏洩や情報流出が発生する恐れがあります。DMZ（中間ゾーン）は、システムを望ましくないアクセスから守るための優れたセキュリティ対策です。DMZは、インターネットと他の内部ネットワークの間に設置されるサブネットとして知られています。DMZの役割は、不審な外部アプリや信頼できないネットワークを検出することです。システムが望ましくない外部アクセスに悩まされないよう、もう一層の安全対策として機能します。DMZの最も良い点は、リスクに晒されることなく、貴社をLANに接続できる点です。システムの主要ネットワークの外には、利用者が接続する必要のあるさまざまなサービスが存在します。例として、FTP、メールドメインネームシステム、VoIPなどが挙げられます。公共のサービスを利用する際、不正な攻撃者がシステムに侵入を試みる恐れがあります。公共サービスでアクセスが急増するアプリは、DMZを経由することで、利用者が悪意のあるプログラマーによってシステムに侵入される恐れなく接続できるようになっています。これは、公共サービスに接続する安全な方法です。

Domain Name System (DNS) のキャッシュポイズニングは、悪意のある攻撃者が正規のネットワークから容易に操作できる偽のネットワークへトラフィックをリダイレクトするあらゆるサイバー攻撃を指します。多くの場合、利用者が偽のウェブサイトページにログインしていることに気づくのはほぼ不可能です。DNSキャッシュポイズニングは最も広く知られたサイバー攻撃の一つです。この概念を正しく理解することが、その脅威から身を守るうえで最も安全な方法です。貴社の端末がネットワークとどのように接続してインターネットにつながっているかを把握していないと、この種の攻撃の被害に遭いやすくなります。貴社のシステムを守り、攻撃者がDNSキャッシュを不正に書き換えるのを防ぐため、厳格な守るアプリを導入できます。Domain Name Systemは端末のIPアドレスを特定し、最適な方法でインターネットに接続させます。DNSキャッシュが汚染されると、DNSは偽のIPアドレスを登録し、貴社を悪意のあるウェブサイトへ誘導する場合があります。

この概念はドメインネームサーバーの再設定を扱っています。ここでの唯一の違いは、変更を行うのが貴社ではなく悪意ある攻撃者であることです。攻撃者は自身が用意した有害なサイトへ貴社を誘導しようとします。全体の手口は複雑ですが、マルウェアを使い正規のサーバーを欺き、通常の基準を逸脱させます。DNS攻撃は以前から存在し、着実に増え続けています。サイバー犯罪者は企業がDNSを信頼していることを理解しており、多くの企業はDNSに悪意ある活動や不審な動きがないかを十分に確認していません。この抜け穴を突かれると、攻撃者はDNSを再設定して別の場所へ誘導できます。こうした攻撃者はウェブサイトに侵入し、重要情報を盗むだけでなく、サイト自体を完全に破壊する場合もあります。最善の策はDNS監視に投資することで、いつ何が潜んでいるかわからないからです。

21世紀は技術の進歩が目覚ましい一方、落とし穴も多く存在します。巧妙に仕掛けられた1つのマルウェアでシステム全体が停止する恐れがあります。現在、マルウェアはスマートフォンやデバイスにとって大きな問題となっています。中でも対応が難しいマルウェアがDridexです。DridexはBugatやCridexとも呼ばれ、Microsoft Wordのマクロ機能を悪用して機密の金融情報を盗むために作られた特殊なマルウェアです。このマルウェアは非常に危険で、気付かないうちに金融情報を盗まれる恐れがあります。Dridexは、悪意あるメールの添付ファイルをMicrosoft WordやExcelで開いたWindowユーザーを狙います。マクロがドライブをダウンロードし、システムに感染させます。マルウェアは金融情報を盗むだけでなく、それを利用して不正な取引を支援します。これにより、ドライブ攻撃の被害者は大きな金銭的損失を被ることになります。

技術が進むにつれて、貴社のコンピュータシステムに被害を及ぼす悪質な手法も賢くなっています。21世紀を代表する脆弱性のひとつがDDoS攻撃です。この攻撃は守りにくく、様々なシステムを停止させる特殊な攻撃です。分散型DoS攻撃は、ネットワークを混雑させることでシステムを機能しなくする攻撃です。その目的は、通信の渋滞でシステムに過負荷をかけ、管理用リクエストが処理できなくなるようにすることです。DDoS攻撃の概念を理解するには、ネットワークチャンネルが忙しい道路で、車が通信だと考えると分かりやすいです。道路に車があまりにも多いと、混雑してすべてが停滞してしまい、目的地にたどり着けなくなります。DDoS攻撃の危険性は、貴社のシステムが渋滞した通信の処理に追われ、攻撃の侵入を見抜く余裕がなくなる点にあります。

多くの顧客や専門家が、いずれかの時点でデータ損失を経験しています。データ損失の問題点は、予測が難しく、突然起こりうることです。データ損失は情報システムにおけるシステムエラーの一種で、重要なデータが失われる原因となります。基本的にデータ損失は回避可能です。もし貴社と従業員がシステムを運用する際に、より適切な手順を取り入れればデータは守られます。しかし、保管や送信、データ処理を誤ったり不注意だったりすると、データ損失のリスクが高まります。データ損失は電子的に発生することもあれば、ストレージが盗まれるなどの物理的な理由で起きる場合もあります。データ損失はデータの利用不可と混同すべきではありません。後者はネットワーク障害によるものですが、どちらも利用者が重要な情報にアクセスできなくなるという結果は似ています。ただし、データの利用不可は一時的なものですが、データ損失はデータが永久的に失われたことを意味します。発生した状況によって多様な種類のデータ損失があります。データ損失を防ぐには、優れたバックアップ体制を整えるのが最適です。バックアップがあれば、失われたデータを簡単に復旧できます。

現代ではコンピュータ化が進み、多くの情報をスマートフォンやパソコンから操作できます。生活のあらゆる部分が複数のデバイスに保存された電子データで管理されています。データ漏洩は、機密システムに侵入して重要な情報を盗む特殊な攻撃の一種です。近年では、データ漏洩がよく発生しています。これらの漏洩は、不運や金銭的損失、システム全体の破綻につながる可能性があります。システムを担当する人々の不注意が原因となる場合もあれば、直接的かつ標的を絞った攻撃によって起こる場合もあります。データ漏洩に至る経緯はさまざまです。たとえば、貴社の従業員の一人が意図せずログイン情報をインターネット上に漏らすと、悪意あるハッカーによって従業員データへのアクセスや給与情報の変更などが行われる可能性があります。データ漏洩の被害範囲は、深刻化するまで正確に把握しづらいという特徴があります。

ドライブバイダウンロード攻撃は、フィッシングと注意喚起の手法を核としており、通常のサイバー攻撃と同様の性質を持ちます。攻撃者は、正当な専門家を装い、無防備な被害者のPCに有害なアプリを不正にインストールします。その実施の容易さと信頼性の見せ方から、長い間知られてきました。攻撃者は、実在のサイトアプリの例外措置を利用することがあり、特定分野に特化した場合もあります。示されたサイト間のやり取りを通じ、無自覚な利用者をマルウェアを含むリンクへ誘導するため、何が起こっているのか把握しにくく、守ることが困難です。ドライブバイ攻撃は、他の標的を狙った攻撃と同様に、組織の信頼や顧客の安全にとって大きなリスクとなります。

エクスプロイトとは、プログラムの一部、情報の塊、または命令の集合であり、PCプログラム、機器、または電子ハードウェアの不備を突いて、予期せぬまたは驚くような動作を引き起こすものです（概ね最新のものです）。PCシステムの乗っ取り、権限昇格の実現、またはサービス拒否（DoSや関連するDDoS）攻撃が行われる場合が多いです。

クライアント側の攻撃は、クライアントとの連携が必要になることがあるため、ソーシャルエンジニアリングと組み合わせて利用されることもあります。不正な情報アクセス、任意のコード実行、サービス拒否行為など、無防備なシステムに対して様々な手法が講じられます。

影響を受けたプログラムの開発者がエクスプロイトに気づくと、脆弱性は通常修正され、エクスプロイトは無効となります。そのため、一部のダークハットプログラマーや、軍事・情報機関のプログラマーは、自身の手法を公開せず、秘匿しているのです。

ビジネスにおいて、ERMとは企業がリスクを管理し、目標達成に向けて機会を活かすために採用するさまざまな戦略やプロセスを指します。ERMは、企業の目標に関連する特定の事象（脅威や機会）を特定し、その発生頻度や影響度を分析し、対応策を決定し、そしてプロセスを継続的に監視するリスク管理のフレームワークです。企業は、所有者や従業員、消費者、規制当局、社会全体などの利害関係者を守り、さらに意欲を高めるためにも、脅威や機会を積極的に特定し、対処していきます。

内部統制、サーベンス・オクスリー法、情報セキュリティ、戦略的な計画は、いずれもERMの一部として重要な要素であり、リスクベースでビジネス経営を行ううえで欠かせません。ERMは、複雑化する企業が直面する幅広いリスクを把握し、適切に管理できているかを理解したい多様な利害関係者の期待に応える形で、変革を続けています。規制当局や信用格付機関も、企業のリスク管理の取り組みをいっそう厳しく検証しています。

暗号化は、情報を符号化するための暗号技術です。この処理によって、情報の元の表現である平文を、新たに生成される暗号文へと変換します。理想的には、許可された関係者のみが暗号文を平文へ戻し、元の情報にアクセスできるようにします。暗号化だけでは妨害を完全に防ぐわけではありませんが、第三者から情報を守ります。

一般的な暗号化方式では、特定の目的に基づく演算によって生成された擬似一意の暗号鍵を使用します。鍵がその場で利用できなくても、メッセージを復号できる場合があります。高度な暗号化を実現するには、大規模な計算能力やリソースが不可欠です。許可された受信者は、発信者から渡された鍵を使ってメッセージを平文に復号できますが、許可されていない利用者には解読できません。

軍事分野では早期から暗号化技術が活用されてきました。そこからさらに新しい手法が生まれ、現代のさまざまなコンピュータ分野で広く活用されています。現在の暗号化手法では、公開鍵暗号や共通鍵暗号の原理が使われています。現代のコンピュータでは暗号を解読することが難しいため、利用されている暗号化アルゴリズムによってセキュリティが守られています。

攻撃者が2つの機器間で送信されるデータを遮断、削除、または変更する場合、これを盗聴攻撃と呼びます。スヌーピング、または盗み見や潜入と呼ばれる手法は、不安定なネットワーク接続を利用して機器間の通信路に流れる情報を取得します。

「スヌーピング攻撃」とは、貴社が暗号化されていない通信を行っている組織と接続し、機密の業務データを第三者へ送信する場合に発生します。そのデータが公衆のネットワークに流れるため、攻撃者が脆弱な点を突いて様々な方法で悪用する恐れがあります。盗み見攻撃は場合によっては気づかれにくく、ウイルスや盗聴機器が存在しても、他のサイバー攻撃のように機器やプロジェクト自体に影響を及ぼすとは限りません。

ファイアウォールは、コンピュータの安全対策を利用して内部と外部の通信を確認・制御する装置です。ファイアウォールは、企業のネットワークとより大きなネットワーク（例：インターネット）との間に障壁を設けるために用いられます。

ファイアウォールは、定められた基準に沿って受信する通信を精査し、不審または問題のある通信源からのアクセスを分け、攻撃を防ぐ役割を果たします。さらに、外部装置とのデータ交換が行われるコンピュータのポートにおける通信を守ります。

ファイルレスマルウェアは、PCのメモリ(RAM)上にのみ存在する破壊的なプログラムです。

PCのハードドライブに動作を記録しないため、デジタルフォレンジックの専門家が不審な活動を特定する証拠がほとんど残りません。その結果、記録ベースのホワイトリスト登録、シグネチャ検出、ハードウェアチェック、設定分析、タイムスタンプなどの既存手法を回避しやすくなります。

フォームグラビングは、ウェブサイトから資格情報を取得し、その後インターネット経由で守られているサーバへ送信することで動作するマルウェアの一種です。この手法により、マルウェアはHTTPSの暗号化を回避することが可能です。仮想キーボード、オートフィル、または再配置で入力された場合でもクライアントの資格情報を取得できるため、キーロガー型よりも強力です。さらに、フォームグラビングは、メール、アカウント名、パスワードなどの変数名に基づいて情報を整理でき、情報を取得したサイトのURLとタイトルも記録します。

セッションレス／コネクションレスな通信方式であるユーザ・データグラム・プロトコル（UDP）を利用した大量のサービス拒否（DoS）攻撃は、UDPフラッド攻撃と呼ばれます。

Transmission Control Protocol（TCP）を利用する攻撃と比べ、UDPを用いるのは困難とされます。それでも、UDPフラッド攻撃はリモートの装置の不正なポートに大量のUDPパケットを送信することで開始されます。

その後、大量のUDPパケットにより攻撃対象のシステムは多くのICMPパケットを送信せざるを得なくなり、結果として他の利用者が接続できなくなります。また、攻撃者はUDPパケットのIPアドレスを偽装し、少量のICMP応答パケットが攻撃者に届くのを防ぐことで、通信元を特定しにくくしています。多くの運用中のシステムは、送信されるICMP応答の量を制限することで、この攻撃に対抗しています。

この攻撃は、ネットワーク全体にファイアウォールを適切に配置し、不必要な通信を遮断することで防ぐことが可能です。ファイアウォールによって、被害対象のシステムは悪意あるUDPパケットを受信したり応答したりしません。しかし、ファイアウォールは状態情報を管理するため、保持できるセッション数に限界があり、攻撃によってはその限界を超えた場合に影響を受ける恐れがあります。

Ghost APIはインターネット上でコンテンツを公開するシステムです。このプロトコルには、ウェブサイトやアプリ、その他のメディアに表示するクライアントによって、読み取り専用の形式でアクセスできます。インターフェースでのアクセス制御は、APIキーの生成によって保証されています。このAPIは完全にキャッシュ可能な設計になっており、特に制限を気にすることなく何度もデータを取得できます。JavaScriptで開発されたAPIクライアントがあり、Ghost APIに含まれるコンテンツに簡単にアクセスできます。このAPIシステムの利点は、認可や認証へのアクセスが可能になることです。つまり、リクエストとレスポンスの形式を利用しています。Ghost APIはv3 Content APIと連携できるようにアップグレード可能です。インターフェース上の管理ドメインはメインドメインとは異なります。インターフェース上で重要なドメインを使うことで、安定した結果を得ることができます。それぞれのAPIには同じパスが付与され、特定のバージョンに従うよう設計されています。また、有効なJSONを同様の構造で実行できるようになっています。他の種類のAPIと同様にGhost APIにも脆弱性はありますが、システム内で提供される高いレベルのアクセスが評価され、広く利用されています。

GraphQLはAPI向けの無料かつオープンソースの情報リクエストと制御を行う言語で、既存のデータを使って要求に対応するランタイムとしても利用できます。Facebookは2012年に社内でGraphQLを作り、2015年に公開しました。2018年11月7日、GraphQLプロジェクトはFacebookから新たに設立されたGraphQL Foundationに移管され、非営利のLinux Foundationが支援しています。2012年時点でのGraphQLの台頭は、開発者であるLee Byron氏が描いた開発過程を正確にたどりました。Byron氏の取り組みにより、GraphQLは今後Webプラットフォーム全体で広く普及すると期待されています。

オンラインAPIの作成を扱う手段を提供し、RESTなど他のWeb連携方式とも比較検証されています。さらに利用者がデータの構造を自由に指定でき、サーバーからも同様の構造でデータが返されるため、不要なデータを返送せずに済みます。ただし、この仕組みによるWebリクエスト処理の効率には注意が必要です。柔軟で表現力が高い分、基本的なAPIには複雑さが増してしまう可能性があります。

gRPC（Remote Procedure Calls）は、2015年にGoogleが作成したオープンソースのRPCフレームワークです。Stubby RPC基盤を発展させた新たな形態として登場しました。認証、双方向ストリーミング、ストリーム制御、ブロッキングまたはノンブロッキング接続、キャンセル、タイムアウトに対応しております。HTTP/2を通信プロトコル、Protocol Buffersをインターフェース記述言語として用い、幅広い言語間でクライアントとサーバの接続を確立いたします。マイクロサービスの相互接続や、モバイルアプリからバックエンドサービスへの接続などで利用される代表的な例です。

gRPCはHTTP/2を複雑に活用している関係上、プログラム内でgRPCクライアントを構築するのは容易ではなく、ミドルウェアの利用が必要となります。

グレイハットハッカーは、PCハッカーやPCセキュリティの専門家で、ときどき法律や道徳的な規範を破る場合があっても、black hat hackerのような悪意ある目的は持ちません。

この言葉は1990年代後半に初めて使われ、「white hat」と「black hat」というプログラマーの概念をもとに生まれました。white hat hackerが脆弱性を見つけた場合は、許可を得てからのみ利用し、それが修正されるまでは脆弱性の存在を公開しません。一方、black hat hackerは違法に利用し、さらに他人にもそのやり方を教えます。grey hatはそれを不正に利用したり、他の人にやり方を教えたりはしません。

これらの種類のプログラマーには、脆弱性の見つけ方にも違いがあります。white hatは、所属する組織などの依頼や特定の許可を得てシステムや組織に侵入し、プログラマーからの攻撃に対する耐性を評価します。一方でblack hatは、個人の利益のためにあらゆるシステムや組織にも侵入して機密情報を暴露します。grey hatはwhite hatと同じ能力や目的を持っていますが、許可を得ずにどんなシステムや組織にも侵入することがあります。

Heartbleedは、広く利用されているTLS（Transport Layer Security）の実装であるOpenSSL暗号ライブラリに存在した弱点でした。2012年に最初に注目され、同年4月に公表されました。サーバまたはクライアントとしてOpenSSLを使用している場合、攻撃者に悪用される可能性がありました。これは、TLSハートビート拡張で不正なデータ検証が行われた（チェックの欠如による）ことが原因です。そのため、バグの名称は脈拍に因んでいます。この問題は、必要以上の情報にアクセスできるメモリの読み出しとして説明されました。

Heartbleedは、Common Vulnerabilities and ExposuresデータベースにCVE-2014-0160として登録されています。カナダのサイバーインシデントレスポンスセンターがセキュリティ担当者へ通知しました。Heartbleedが公開発覚した頃、修正版のOpenSSLも提供されました。

選択されたソフトウェアを活用することで、ハイブリッドクラウド構成はプライベートクラウドと1つ以上のパブリッククラウド企業を統合し、優れたサービス同士の連携を可能にします。ハイブリッドクラウドを活用する企業は、ニーズやコストの変化に合わせてクラウド環境全体のリソースを柔軟に利用できます。

企業がハイブリッドクラウド環境を必要とするのは、機密データをより自由に扱えるからです。企業は機密情報をプライベートクラウドやオンプレのデータセンターに保存する一方で、運用中のパブリッククラウドが提供する強力な計算リソースも利用できます。複数のクラウド環境をそれぞれ個別に管理するのではなく、ハイブリッドクラウドなら単一の管理プレーンを使って管理を統合できます。

ハイブリッドクラウドの運用は、プライベートやパブリック、コミュニティといった単一のカテゴリに収まらず、プロバイダの境界を越えてサービスを展開します。また、別のクラウドサービスと組み合わせたり統合、カスタマイズしたりすることで、クラウドサービスの容量や機能を拡張できます。

ハニーポットは、データ網の不正利用の試みを検知し、回避させるなどの対策を講じるPC向けのセキュリティ手法です。通常、ハニーポットは、組織のサイトの一部に見せかけた情報を掲示し、攻撃者にとって魅力的なデータや資産を含んでいます。これらは分離され、監視され、攻撃者を遮断または解析するための仕組みが整えられています。これは、警察の捜査作戦、いわゆる「おとり捜査」に例えられるものです。

デジタルの世界では、さまざまな種類の脆弱性が存在します。脆弱性に取り組む際の問題は、その数が無限である点です。あらゆるシナリオに備えるのはほとんど不可能です。そこで専門家はハードニングという概念を考案しました。ハードニングは多くの作業を自動で行い、貴社のシステムを攻撃から守ることを確実にします。ハードニングとは、システムの攻撃されやすい部分を減らすことで安全性を高めるプロセスです。コンピュータの脆弱性を減らすのは困難な作業であり、複数の機能を持つシステムの場合、その難易度はさらに高まります。つまり、単一機能のコンピュータは多目的なものよりもハードニングしやすいのです。脆弱性の軽減には、既定のパスワードの変更、不要なソフトの削除、既定のユーザー名やログイン情報の除去などが含まれます。これは、初期設定された基本的なセキュリティプロトコルを超える対策を講じることを意味します。初期設定のセキュリティプロトコルは、簡単に突破される可能性が高いです。UnixやLinuxシステムをハードニングする方法はいくつかございます。

なりすまし（Spoofing）は、高度な攻撃の一種で、コンピュータやデバイス、あるいはネットワークを使って正規の存在になりすまし、他のコンピュータネットワークを欺く行為です。これは、ソフトウェアエンジニアが機密データを盗み出したり、ゾンビ（悪意ある目的に利用される乗っ取られたコンピュータ）に変えたり、Denial-of-Service（DoS）攻撃を仕掛けたりするために使う複数の手段のひとつです。いくつかあるなりすまし手法の中でも、特にIPなりすましが広く知られています。

IPなりすましでは、インターネットを介して送受信されるデータが複数のパケットに分割され、それぞれ独立して送信された後に最終的に再構成されます。各パケットには、ソースIPアドレスと宛先IPアドレスなどの情報が含まれるIP（Internet Protocol）ヘッダーが含まれます。

アイデンティティ盗難とは、近しい人の名前やビザ情報、社会保障番号などの個人情報を本人の同意なしに利用して、詐欺やその他の犯罪を行うことを指します。1964年に「identity theft」という言葉が生まれ、それ以来イギリスやアメリカでは個人を特定できる情報の盗難として定義されています。詐欺では他人の身元を故意に利用して金銭的利益や信用、その他の特典を得たり、他の人に不利益や損失を与えたりする場合があります。身元を盗まれた人は、特に犯人の行動に対して誤って責任を問われた場合に深刻な被害を被る可能性があります。一般的に個人を特定できる情報には、名前、生年月日、社会保障番号、運転免許証番号、銀行口座番号やクレジットカード番号、PIN、電子署名、指紋、パスワード、その他財務資産にアクセスできるあらゆる情報が含まれます。

内部脅威とは、企業内に潜む危険な存在です。例えば、従業員、元従業員、契約従業員、または取引先パートナーが、企業のセキュリティ手法、情報、およびPCシステムに関する機密情報を所有しています。不正行為、機密または経済上重要な情報の窃盗、特許技術の盗用、そしてPCシステムの破壊などが潜在的なリスクとなります。内部脅威は大きく三種類に分けられます:

• 悪意ある内部関係者：企業を傷つけるために権限を悪用する;
• 不用意な内部関係者：ミスや手順の見落としにより、企業にリスクを与える;
• 侵入者：不正に高いアクセス権限を取得する.

情報が不正なアクセスから守られるため、その発生機会を制限する方法を情報セキュリティまたはInfoSecと言います。これは情報リスクの一側面に分類されます。通常、承認されていない、または不適切な情報のアクセスや、不正使用、漏えい、妨害、削除、改変、変更、閲覧、記録、または格下げを防ぐ、あるいはその可能性を制限する措置が含まれます。また、こうした事態が発生した場合の影響を軽減する取り組みも行われます。情報は電子的なもの、物理的なもの、紙媒体やデジタルデータなど様々な形態を取り得ます。情報セキュリティの主目的は、情報のプライバシー、信頼性、アクセスのしやすさ（CIAの三要素）を守りつつ、組織の効率を損なわないようにする点にあります。

MQTTは、軽量でサブスクリプションベースのネットワークプロトコルです。デバイス間でメッセージを転送するために利用され、TCP/IPネットワーク上で動作します。ただし、双方向かつ損失のない通信が行えるネットワークプロトコルであれば、このプロトコルと互換性があります。リソースやネットワーク帯域幅が十分でない遠隔地での利用を想定しており、OASISが策定するオープン標準で、ISOでも推奨されています。主にメッセージブローカーと複数のクライアントから構成され、ブローカーはクライアントからのメッセージを保持して適切な宛先に送信します。クライアントはライブラリを利用して動作するデバイスで、ブローカーと接続可能です。保持メッセージはフラグが真に設定された通常のメッセージを指します。最小限の制御メッセージはわずか2バイトのデータしか含まない場合もありますが、クライアントやシステムの要件によっては最大256MBまでデータを含める場合もあります。

Malvertising（「マルウェア」と「広告」を組み合わせた造語）は、マルウェアを広めるためにインターネット広告を利用する手法です。通常は、公開されているオンライン広告ネットワークやページに、悪意あるプログラムやマルウェアを仕込んだ広告を挿入して行われます。オンライン広告は、利用者を惹きつけて商品をアピールするための工夫が凝らされているので、マルウェアを広めるには強力な手段となります。有名で信頼度の高いサイトにも広告コンテンツが組み込めるため、ファイアウォールや強固なセキュリティ対策などでふだん広告を見ないユーザーにも攻撃を仕掛ける余地があります。Malvertising は「多数の正規サイトを直接侵害することなく、簡単に拡散できるため攻撃者にとって魅力的」と言われています。

マルウェア（悪意あるソフトの略）は、PC、サーバ、顧客、または組織に損害を与えることを目的とした製品です。プログラミングバグは、欠陥により偶発的な不具合を引き起こすプログラムと説明されることもあります。例として、マルウェアにはPC感染、ワーム、トロイの木馬、ランサムウェア、スパイウェア、アドウェア、予期せぬプログラム、不正削除プログラム、恐喝系ソフトなどが含まれます。

一部の場合、マルウェアは顧客の安全に反して密かに動作するプログラムとされます。たとえば、Sony BMGは不正な複製を防ぐために、顧客のPCにルートキットを密かに導入した事例がありましたが、そのソフトは顧客の再生傾向を追跡し、他のセキュリティ上の問題も引き起こしました。

マルチクラウドとは、単一の異種システム内で複数の分散コンピューティングとキャパシティ管理を利用することです。また、複数のクラウド環境において、クラウドリソース、プラットフォーム、アプリなどを活用することも意味します。一般的なマルチクラウド設計では、少なくとも2つのパブリッククラウドと同等のプライベートクラウドを組み合わせ、一つのクラウドプロバイダーへの依存を排除することを目指します。ハイブリッドクラウドとは異なり、これはパブリック、プライベート、レガシーといった異なるデプロイメントモデルではなく、複数のクラウドサービスを意味します。また、マルチクラウド環境では、計算処理を完了するために各プロバイダー間の同期が必須ではなく、オンプレミスや分散コンピューティング環境とは異なります。

例えば、企業は同時に異なるクラウドプロバイダーのインフラ（IaaS）、プラットフォーム（PaaS）、およびアプリ（SaaS）サービスを利用したり、異なるインフラ（IaaS）またはプラットフォーム（PaaS）のプロバイダーを選択したりする場合があります。また、各ワークロードごとに別のインフラプロバイダーを利用する、一つのワークロードを複数のプロバイダーに動的に分散する、あるいは一つのワークロードを一つのプロバイダーに割り当て、他のプロバイダーから補完を得る（動的分離）といった構成も考えられます。

Man-in-the-middle person-in-the-center (PITM) 攻撃は、攻撃者が二者間のやり取りにこっそり介入し、通信を変更する可能性があるサイバー攻撃です。両者は直接やり取りしていると思っていますが、実際には攻撃者が間に入り込んでいます。動的な盗聴はMITM攻撃の一例です。攻撃者は当事者それぞれと独立に接続を確立し、メッセージをやり取りすることで、両者がプライベートな接続で自由に話していると思わせます。しかし実際には、会話の全体を攻撃者がコントロールしています。侵入者は両者の通信をすべて阻止し、新しいメッセージに置き換えます。これはよくあるケースです。たとえば、暗号化されていないWi‑Fiルータの通信範囲内にいる攻撃者が、中間者を装うことができます。

MITM攻撃は、攻撃者が各エンドポイントを巧妙に偽装し、相互認証を回避できる状況で成立します。MITM攻撃を防ぐために、多くの暗号化システムはエンドポイント認証の仕組みを備えています。たとえばTLSでは、互いに信用できる認証局を利用して、一方または両方を認証します。

MFAは、サイトやアプリへアクセスする際、利用者が最低2種類の確認情報（要素）を提示する電子認証方式です。

• 知識（利用者のみが知っている情報）。
• 所持（利用者のみが持っている物）。
• 固有性（利用者固有の特徴）。

MFAは、たとえば1つの秘密が漏れた場合でも、不正な者が利用者の情報や資産へアクセスするのを防ぎます。

OAuth は「Open Authorisation」（オープン認可）を意味するオープン標準で、アクセス権を付与するためによく使われています。この標準はウェブユーザーがサイトやアプリにデータへのアクセスを許可するときに利用されますが、異なるプラットフォーム上のアカウントにログインするための資格情報をいちいち入力しなくても済む仕組みです。OAuth は Amazon、Google、Facebook、Twitter、Microsoft などの大手企業で利用され、ユーザーがサードパーティーアプリとデータを共有できます。非常に有用ですが、セキュリティ上の問題や脆弱性がいくつか報告されています。2009年4月23日にはセッション固定の脆弱性が見つかり、OAuth の認可フローに影響が及びました。その際、バージョン1.0aがTahoe向けにリリースされています。2013年1月には OAuth 2.0 に Open Redirector と呼ばれる大きな問題が確認され、2014年には Covert Redirect と呼ばれるリスクも発覚しました。しかしながら、OAuth 2.0 は正式なウェブプロトコル分析が行われており、その分析では複数の認可サーバーを使用する構成で悪意あるサーバーが紛れ込む恐れがあると指摘されています。これに対応し、OAuth 2.0 を守るための新しいベストプラクティスが策定されました。

Obfuscationとは、あいまいで誤解を招く表現を使い、伝えたい意味を理解しづらくする方法です。話題をぼかす (evasion)、専門用語 (jargon)、外部の人には価値が乏しい仲間内言語 (parlance) などを組み合わせて難読化します（ただし、多くの場合、その意図は推測されます）。

意図しない難読化は、論説文の下書きの冒頭などでもよく見られます。このようなあいまいさは、著者や編集者による推敲や編集によって明らかになることが多いです。

パブリックAPI（一般的にはオープンAPIと呼ばれます）は、公開されているアプリ用プログラミングインターフェースで、開発者がプライベートなソフトウェアやオンラインサービスに即時アクセスできるようにします。APIは、あるプログラミング言語が別のプログラミング言語と連携する方法を管理する一連のルールです。APIを使えば、開発者が製品の中核機能にアクセスできることもありますが、Web APIでは必ずしもそうとは限りません。もっとも基本的な形では、APIはあるソフトウェアが別のソフトウェアと通信できるようにします。これは、特定のオペレーティングシステムを実行する単一のコンピューター上でも、TCP/IPベースや非TCP/IPベースのネットワークでも同様です。

Phishingは攻撃者が虚偽のメッセージを送り、被害者をだまして個人情報を流出させたり、ランサムウェアなどの有害なプログラムをシステムにインストールさせたりする手口です。近年では、ターゲットとなるサイトをそっくり模倣し、被害者がサイト上で行う操作をすべて監視し、追加のセキュリティ対策も突破できるほど高度化しています。2020年以降、フィッシングは最も一般的なサイバー攻撃の一つとされ、FBIのInternet Crime Complaint Centerで報告されたフィッシングの件数は、他のコンピュータ犯罪の2倍以上に上っています。

プロキシサーバーは、PCネットワークにおいて、資源を要求するクライアントとその資源を提供するサーバーの仲介役として動作するサーバープログラムです。

ドキュメントやウェブページなどの適切な資源を直接提供できるサーバーに接続する代わり、クライアントはリクエストをプロキシサーバーに送信します。プロキシサーバーはそのリクエストを評価し、必要なネットワーク機能を実行します。この仕組みは、リクエストの複雑さを整理または制御し、負荷分散、保護、安全などの付加的な利点を提供します。仲介システムは、適切なフレームワークを構築・実現するために設置されました。クライアントがサービスを要求する際、プロキシサーバーは代理として動作し、場合によっては資源サーバーに対するリクエスト元を隠すこともあります。

ペネトレーションテスト（ペンテスト、モラルハッキングとも呼ばれます）は、正当な権限のもとで再現されたサイバー攻撃を、システムの安全性を破るために実施するものです。これは脆弱性診断と混同してはいけません。このテストは、不正アクセスの可能性などの欠点（脆弱性とも呼ばれます）を見つけ、包括的なリスク評価を行うために実施されます.

プロセスは通常、ターゲットとなるシステムと目的の選定から始まり、公開情報の調査や様々な手法の活用によって目標達成を図ります。ペネトレーションテストの対象は、事前にシステムやネットワーク情報が提供されるホワイトボックステスト、あるいは一切の情報が提供されないブラックボックステスト（会社名以外の最低限の情報が提供される場合もあります）に区分されます。両者の手法を組み合わせたグレーボックステストも存在します。

暗号解析者が対象者に接触できない場合、暗号文など得られた情報のみで仕組みの解読を試みます。この攻撃には、平文と暗号文の両方が既に分かっている既知平文攻撃が含まれます。

動的な攻撃者は情報を送信することで組織に協力できる一方、独立した攻撃者は通信の傍受に限られ、認証の記録から情報を解読しようと試みます。情報を提供しないため、発見が難しいです。

多くの従来の暗号はこの攻撃に太刀打ちできませんが、現代の暗号は特にこの攻撃を防ぐことを目的としています。

REST（Representational State Transfer）はワールドワイドウェブの設計を導くために考案された設計手法です。RESTは、Webのようにインターネット規模で分散したハイパーメディアシステムをどのように設計すべきかのルールを定めています。RESTの設計スタイルでは、コンポーネントの拡張性、インターフェースの統一性、配置の柔軟性、そして階層化されたデザインを重視します。これにより、キャッシュを活用してクライアントが感じる待ち時間を減らし、セキュリティ機能を実装し、レガシー構造をまとめて扱えるようにします。

rootkitとは、通常は公開されていないPCやその一部に不正なアクセスを可能にする悪意あるプログラムの一種です。同時に、自身や他のプログラムの存在を隠す機能も備えています。 "rootkit"という名称は、Unix系システムで特権ファイルを意味する"root"と、プログラムの構成部品を指す"kit"に由来します。この用語は、マルウェアとの関連から否定的な意味合いを持ちます。

ランサムウェアとは、暗号ウイルス学由来のマルウェアで、身代金を支払わない限り被害者の個人データを公開すると脅したり、永続的にアクセスをブロックしたりするものです。単純なランサムウェアはシステムをロックするだけなので、ある程度の知識があれば元に戻すことは難しくありません。しかし、より高度なマルウェアはcryptoviral blackmail（暗号ウイルス脅迫）と呼ばれる手法を用い、被害者のファイルを暗号化してアクセス不能にし、復号のための身代金を要求します。適切に実行されたcryptoviral coercion攻撃では、復号鍵がないとファイルを復元することは非常に困難です。さらに、PaysafecardやBitcoinなど追跡が難しいデジタル通貨が身代金に使われるため、犯人の特定や起訴は容易ではありません。

PCセキュリティの観点で、arbitrary code execution (ACE) は、攻撃者が実際のPC上や通常のプロセスを通じて任意のコマンドやコードを実行できる能力を指します。ソフトウェアなどにある任意コード実行が可能な不具合は、arbitrary code execution の脆弱性と呼ばれます。arbitrary code execution は、セキュリティホールを悪用するソフトウェアによって発生します。remote code execution（RCE）は、特にインターネットなどの広域ネットワークを介して任意のコードを実行できる能力を指します。

実際のソフトウェアやデバイスは一定のアクセス権限を持ちますが、攻撃者は自らの利益を目指します。一般的には、そのデバイスで管理者権限を得ようとし、成功すれば将来の攻撃で使われるゾンビデバイスに変化する可能性があります。

ファイルインクルードの脆弱性は、スクリプトを使うWebアプリに影響する脆弱性です。攻撃者が制御する変数を含む実行可能コードへのパスをプログラムが開くと、実行時にどのファイルが実行されるかを攻撃者が制御できます。一般的なファイルハイブリッド攻撃とは異なり、この脆弱性はPCが実行用のコードを読み込む仕組みに関係します。一方、ライブラリハイブリッドはファイル構造への不正アクセスを防ぐ手法です。ファイルインクルードの脆弱性が悪用されるとリモートコード実行を許容してしまい、侵害されたWebアプリが動作するようになります。攻撃者はリモートコード実行を使ってWebサーバーにWebシェルを構築し、Webページを破壊することもできます。

レート制限は、コンピュータネットワークで広く利用される考え方です。ネットワークインターフェースコントローラによって送受信されるリクエスト数を管理するために使われます。この手法は、DDoS攻撃を防ぐための実績ある方法です。また、Webスクレイピングを防止する効果もあります。レート制限はハードウェアアプライアンスにも適用でき、OSIモデル上のリクエスト数を減らすために利用されることがあります。送信者のネットワークプロトコルスタックを活用してレート制限を実装することも可能です。ハードウェアがレイヤー4で受信するリクエストを制限する場合、NATで隠された複数ユーザーのネットワークを、一つのISPのIPアドレスで誤ってブロックしてしまう危険もあります。ディープパケット暗号化は、セッション層をフィルタリングし、アプライアンスとプロトコルサーバ間に設けられたTLSやSSLなどのプロトコルを除去するための有用な手法です。これらのサーバは特定のリクエスト／レスポンスモデルで動作するよう設計されており、レート制限アルゴリズムはセッションキャッシュに含まれる情報をもとに、ユーザーセッションの制限が必要か判断するツールです。

ローグセキュリティソフトウェアとは、被害者のPCやデバイスがウイルスに感染していると信じ込ませる目的で作られたマルウェアの一種です。正規のウイルス対策ソフトのように、ウイルスがあると警告するポップアップウィンドウを表示します。しかし、実際にはローグセキュリティソフトウェアにウイルスは存在しません。

万一この詐欺にかかりPCやデバイスがローグセキュリティソフトウェアに感染すると、高額な費用を請求される可能性があります。ローグセキュリティソフトウェアは情報を盗むのではなく、偽の削除サービスに支払いを促すことが目的です。偽の感染通知を表示した後でPCやデバイスを消毒する手順を示し、特別な感染除去サービスやツールの代金を求めることが一般的です。

SAMLはSecurity Assertion Markup Languageを指す用語です。SAMLは、認証と認可のデータを複数のインターネット上の主体間で交換するためによく使われる標準規格です。特に、アイデンティティプロバイダとサービスプロバイダの間で行われるデータ交換を想定しています。SAMLはXMLベースのセキュリティステートメントであり、XMLを利用したプロトコル群を指すこともあります。さらに、SAMLはメッセージバインディングに着目したプロトコルを指す場合もあります。SAMLは、ここまで挙げた特性をすべて備えた特定のプロファイルを意味することもあるという点はご存知でしょうか。SAMLの主な用途としては、ブラウザのシングルサインオン（SSO）が有名です。シングルサインオンは、単一のセキュリティドメイン内であれば比較的簡単に実現できます。ですが、複数のセキュリティドメインにまたがる必要があり、互換性が不足するリスクがある場合には、Security Assertion Markup Languageの利用が重要になります。SAMLは、その仕組みを改善する取り組みに伴い、いくつかの変更を経ています。SAML 1.0は2002年11月に採用され、続いて2003年9月にはSAML 1.1がセキュリティ標準として認定されました。その後、SAML 2.0は2005年3月にOASISの標準となりました。ただし、このフレームワークの脆弱性によっては、関連する組織間のやり取りに問題が発生する可能性があります。

SIEMはPCセキュリティの一部であり、セキュリティデータマネージャー（SIM）とセキュリティイベント管理（SEM）を組み合わせた仕組みです。アプリやさまざまなツールがセキュリティアラートをトリガーし、それを認識します。企業、ハードウェア、管理された提携先などはSIEMへアクセスする主要な方法で、セキュリティ情報の抽出や更新レポートの作成に利用されています。

SIEMは、組織が潜在的なセキュリティ脅威や弱点を業務の妨げになる前に把握するのに役立つセキュリティ手法です。リスク検知や対応に関わる一部の作業を自動化し、優れたカスタマーサポートを提供する点が特徴です。セキュリティとコンプライアンスを重視する現在のセキュリティオペレーションセンター（SOC）で広く利用されており、実質的に視点を阻害するほどに普及しています。

SIEMは、ネットワーク機器、サーバー、ドメインコントローラーなど、さまざまなソースからセキュリティ情報を収集します。さらにデータをまとめ、標準化し、集約し、分析することでパターンを検出し、脅威を認識し、問題の解決に役立ちます。

SOAP（Simple Object Access Protocol の略）は、コンピュータネットワーク上でウェブサービス間の情報交換を行う仕組みの一部です。メッセージの構造は XML 情報セットに準拠しており、メッセージの作成と転送にはアプリ層プロトコル、主にハイパーテキスト転送プロトコル（HTTP）が利用されます。ただし、一部の旧来システムではシンプルメール転送プロトコル（SMTP）が用いられます。

SOAP は、送信者が拡張マークアップ言語（XML）を使い、Windows、macOS、Linux など様々なオペレーティングシステム上で稼働するプロセスを評価、承認、通信することを可能にします。HTTP などのウェブプロトコルはあらゆる環境で実装されているため、利用者はオンラインサービスにアクセスし、環境や言語に依存せずに結果を取得できます。

SQLインジェクションはデータ指向のシステムを攻撃する手法で、悪意のあるSQL文を入力フィールドなどに挿入して実行させます。（例：攻撃者がデータベースの情報を抜き取る）SQLインジェクションを行うには、アプリの機能にあるセキュリティの脆弱性を突く必要があります。たとえば、SQLクエリ内の文字列エスケープが不十分な場合や、ユーザ入力が想定外のかたちで実行される場合などです。SQLインジェクションはWeb攻撃と関連付けて語られがちですが、SQLデータベースであればどのような環境でも利用される可能性があります。

Netscapeは初期のSSLプロトコルを開発し、1995年から1998年まで同社の主任研究者だったTaher Elgamal氏は「SSLの父」と呼ばれています。プロトコルに重大なセキュリティ上の問題があったため、SSLバージョン1.0は一般には公開されませんでした。1995年2月に最初のリリースが行われたバージョン2.0も、すぐにさまざまなセキュリティと使い勝手の問題があることが判明しました。メッセージ認証と暗号化の両方に同じ暗号鍵が使われ、さらに秘密のプレフィックスを用いたMD5ハッシュ計算だったため、長さ拡張攻撃を受けやすいMACになっていました。初回のハンドシェイクや明示的なメッセージ終了を検証する方法がなかったため、中間者攻撃にも気づけませんでした。さらに、SSL 2.0は単一のサービスと単一のドメイン証明書のみを想定しており、Webサーバーで一般的なバーチャルホスティング機能と衝突するため、多くのサイトがSSLを導入できませんでした。

サプライチェーン攻撃とは、企業を損なうためにサプライチェーンのセキュリティが弱い部分を狙うデジタル攻撃です。金融、エネルギー、政府など、あらゆる業種が狙われる可能性があります。サイバー犯罪者は通常、デバイスの製造工程にrootkitやハードウェアベースの監視部品を仕込みます。シマンテックのインターネットセキュリティ脅威レポートによると、サプライチェーン攻撃は脅威エコシステムの一部として依然として存在し、2018年には78％増加しました。

アプリやウェブサイトの開発に関わるすべての人がAPIの重要性を理解しています。しかし、シャドウAPIという概念は全く異なります。これは、セキュリティチェックやピアレビューを含む定められたプロセスの外で開発されたAPIを指します。定められたプロセス外でアプリを導入するシャドウITと同様の意味合いです。シャドウAPIの所有者は、自身の判断がビジネスにとって最良であると信じ、行動する傾向があります。これらの所有者は、公開プロセスの存在に気づいていない場合もあれば、自分の判断で公開する自由があると信じている場合や、インターフェースがビジネスに及ぼすリスクを十分に認識している場合もあります。理由はともかく、シャドウAPIはインターフェースの有効性を信じる企業や組織にとって、ますます大きな問題となっています。シャドウAPIが脆弱である理由は、これらのインターフェースがハッカーによる絶え間ない攻撃にさらされているためです。不正な攻撃者は、これらのプラットフォームを利用して自動攻撃を支援したり、応答コードやパラメータ値で守られたデータを盗んだり、より大規模な攻撃に備えて偵察を行ったりすることを狙っています。全体として、これらはシステム全体を露呈する弱点となっています。

ウェブの登場は人類の発展に多くの可能性をもたらしました。その一つにシングルページアプリがあります。これは従来のアプリやウェブプラットフォームとは異なります。シングルページアプリは、ウェブサーバーから受信したデータに応じてサイト上のコンテンツを動的に再構成しながら、即時にユーザーとやり取りするウェブアプリまたはウェブページです。従来、ブラウザは複数のページを読み込む必要がありましたが、シングルページアプリは一つのページ内ですべてを実行します。スムーズで高速な切り替えができる点が大きな特徴です。貴社のアプリもネイティブアプリのように感じられるでしょう。シングルページアプリを利用する場合、ページを再読み込みする必要はありません。再読み込みの代わりに、重要なHTML、JavaScript、CSSコードはプログラムによって即時に取得されます。さらに、ユーザーの操作に応じたレスポンスとして読み込まれる場合もあります。シングルページアプリがこうした動作を可能にする技術や要素はさまざまで、ドキュメントハッシュ、JavaScriptフレームワーク、Ajax、Web Sockets、サーバー送信イベント、ブラウザプラグイン、データ伝送などがあります。

スパイウェアは有害なソフトで、個人や団体の情報を収集します。これらの情報は、たとえば守りを攻撃したり、機器の安全性を危うくすることで、対象に損害を与えるために外部へ送信されることがあります。この行為は、感染型アプリと正規のアプリの両方で見受けられます。たとえば、Web追跡は一部のサイトが行うスパイウェアの手法です。機器も影響を受ける可能性があります。スパイウェアはしばしば広告と関連し、他にも多数の類似した問題が存在します。これらの行為は広範囲に及び、必ずしも破壊的でない目的で利用される場合もあるため、スパイウェアの定義を具体的に示すのは難しいです。

スピアフィッシングは、攻撃者が特定の組織や個人を狙い、フィッシングを仕掛ける手法です。この方法では、特定の相手に送るメールを作成し、正当なものに見せる目的があります。大量フィッシングと異なり、攻撃者は被害者の個別情報を集め、攻撃成功の可能性を高めようとします。経理部門の責任者や関係者は、重要な財務情報やサービスにアクセスするため、狙われやすくなります。最近の報告によれば、会計事務所や監査法人も標的となることがあり、そこで扱われる情報が犯罪者にとって価値があるためです。

ソーシャル・エンジニアリングは、人々の思考を操作し、所定の行動を実行させたり、データの安全に関する秘密情報を明らかにさせたりする手法です。これは、個人情報の漏洩を伴わない、社会学におけるソーシャル・エンジニアリングとは対照的です。一般の詐欺とは異なり、複雑な詐欺活動の一環として、情報収集や恐喝、システムアクセスのための複数の手法のひとつとして行われることが多いです。

別の定義では、「個人が自らにとって最大の利益となる行動をとるように促すあらゆる示唆」とされています。

通信におけるメッセージを押さえ、パターンから情報を取り出す行為をトラフィック解析といいます。メッセージが暗号化されていても実施できます。一般的に、より多くのメッセージを観測または捕捉して記録するほど、通信から得られる情報は増えます。トラフィック解析は、軍事情報、敵の作戦意図、あるいは実際の調査に利用されるため、PCセキュリティ上の課題となります。

専用のPCプログラミングアプリを利用して解析作業を補助する場合もあります。高度なトラフィック解析手法では、さまざまな構造における非形式的なパターン調査が含まれることもあります。

PC 世界では、トロイの木馬とは、本来の目的を隠すために利用者を騙すマルウェアです。この名称は、トロイの陥落を招いた古代ギリシャの物語に由来しています。

トロイの木馬は、多くの場合、巧妙な仕掛けにより拡散されます。例えば、正規のものと見せかけたメール添付ファイルを利用者が実行するよう仕向けたり、電子メディアなどで偽のリンクをクリックさせたりします。ペイロードは様々な内容で、攻撃者は任意の手法を組み合わせ、不正アクセスを得る可能性があるためです。ランサムウェア攻撃は、トロイの木馬を用いて実行されることが多いです。

PC のウイルス、ワーム、その他独自のセキュリティソフトとは異なり、トロイの木馬は他のファイルを汚染したり自ら広がったりすることはありません。

異なるアプリが実行される際、コンピュータウイルスがそれらを変更し、自己のコードを挿入します。複製が成功すると、影響を受けた部分はウイルスによって「汚染」され、これは自然の感染症に例えられます。

通常、コンピュータウイルスはホストプログラムを必要とします。感染はホストプログラムに自身を組み込み、そのコードの一部となります。アプリが起動されると、まず感染したプログラムが動作し、PCを汚染し、被害を及ぼします。コンピュータウイルスは自己完結型のプログラムまたはコードの塊であるため、ホストプログラムに依存せず、自由に動作し、効果的に攻撃を仕掛けることが可能です。

脆弱性スキャナーは、既知の弱点を調査するためにPC、ネットワーク、アプリを検査するプログラムです。これらのスキャナーを使うことで、システムの弱点を特定できます。ファイアウォール、スイッチ、ウェブサーバ、アプリサーバなどのネットワークベースの資産にある弱点を、誤った設定や不十分なプログラムが原因として特定することにも役立ちます。現在のスキャナーでは、認証済みスキャンと非認証スキャンの両方が可能です。近年のスキャナーはSaaS（Software as a Service）として提供されることが多く、ウェブ経由で利用するウェブアプリとして提供されます。最新の脆弱性スキャナーでは、弱点レポートをカスタマイズできるほか、導入済みのソフトウェア、開いているポート、認証情報、その他のホスト情報の参照も作業工程の一部として実行します。

脆弱性評価とは、仕組み内の弱点を見分け、測定し、注視する方法です。評価対象となる仕組みには、データ革新の仕組み、エネルギー供給の仕組み、水供給の仕組み、交通の仕組み、通信の仕組みなどが含まれますが、これらに限られません。この評価は、民間企業から大規模な政府機関まで、さまざまな組織のために行われる場合があります。災害の観点からは、脆弱性は、社会や組織への潜在的な危険を調べることを意味します。政治、社会、経済、または環境の分野でも実施される可能性があります。

Web Services Description Languageは、XMLベースのインターフェース定義言語で、ウェブ連携における制約を示すために利用されます。また、WSDLドキュメントとも呼ばれる特別なWSDL定義を使うことで、サービスへのアクセス方法や必要なリクエスト、ウェブ接続として返されるデータ構造を機械的に読み取れる形で示します。必要に応じて、プログラミング言語の型シグネチャと同じような役割を担います。

WSDLでは、サービスはエンドポイントやポートの集合として扱われます。そして、WSDLの仕様はXML形式のドキュメントとして定義されています。ポートとメッセージは元になるアプリやモデルと切り離されており、再利用できるようになっています。エンドポイントと再利用可能なバインディングを組み合わせてサービスを表し、複数のポートで構成される形になります。メッセージは送受信されるデータを抽象的に示し、ポートタイプはサポートされる操作の集合を示す抽象的な定義です。

Web APIセキュリティでは、APIを利用するプロジェクトやユーザーを検証します。

APIを容易に連携できる一方、十分な認証（AuthN）と認可（AuthZ）を提供するのは課題です。マルチテナント環境では、十分なAuthNとAuthZに基づくセキュリティ対策によって、APIへのアクセスを必要かつ資格のある人のみに限定できます。APIやサービスの作成者は、適切なAuthNシステム（AuthZ）を使うことで、利用者（クライアントや呼び出しプログラム）を正確に識別し、評価できます。

WebSocketはPCプランニングプロトコルであり、単一のTCP接続でフルデュプレックス通信を可能にします。Internet Engineering Task Force (IETF)は2011年に公開されたRFC 6455でWebSocketプロトコルを標準化しました。W3Cは現在、Web IDLにおけるWebSocket APIの標準化に取り組んでいます。

HTTPはそれほど古いものではありません。両方のプロトコルはOSIモデルのレイヤー7に位置し、レイヤー4であるTCPに依存しています。相違点はあるものの、WebSocketは「HTTPのプロキシや中間ノードをサポートするためにHTTPポート443と80を同様に利用することが期待されている」(RFC 6455)ため、有用です。HTTPからWebSocketプロトコルに切り替える際には、WebSocketハンドシェイクでHTTP Upgradeヘッダーが使われます。

ウェブ開発では、Webhookはカスタムコールバックを用いて、サイトページやウェブ管理の動作を改善または変更します。初期のサイトやアプリに関わっていない外部クライアントやエンジニアも、これらのコールバックを監視・変更・操作できるようになっています。PCプログラミングの用語「snare」に着想を得て、Jeff Lindsayが2007年に「Webhook」という表現を作りました。

最もよく使われる形式はJSONです。リクエストはHTTP POST方式で送信されます。

サイバー攻撃が起きて他の手段がすべて失敗した場合に、Webシェルはリモートでウェブサーバーを操作できるシェルに似たインターフェースです。Webシェルはウェブの仕組みを使って接続する必要がある点が特徴的です。

Webシェルはサーバーが対応しているあらゆるプログラミング言語で作成できます。とはいえ、ウェブ向けに広く利用されているPHPの使用が特に多く、Web形式は主にPHPで実装される傾向があります。Dynamic Server Pages、ASP.NET、Python、Perl、Ruby、Unixシェルスクリプトなども利用されますが、使用頻度はやや低めです。

攻撃者はネットワークスキャンツールを使い、Webシェル設置につながり得る欠陥を探し出す場合があります。意外なことに、これらの脆弱性はウェブサーバー導入後に急増したアプリなどで意図せず見つかることが多いです。

攻撃者はWebシェルを通じて任意の命令を実行したり、ウェブサーバーにアクセスしたり、サーバー上のファイルの移動、削除、ダウンロード、実行などを行うことができます。

ホワイトハット（またはホワイトハットハッカー）とは、倫理を重んじるセキュリティハッカーです。倫理的ハッキングは、単なる侵入テスト以上の活動を含む概念を表します。ダークハットという悪質なプログラマとの差別化のために生まれた言葉で、その名称は西部劇に由来し、勇敢で反抗的なカウボーイがそれぞれ白と黒の帽子を被ることから来ています。また、正当な目的であっても時に権限なしにハックを行うグレーハットと呼ばれる第三のタイプのプログラマも存在します。

PCワームは、自己複製しながら他のPCに広がる感染です。通常、PCネットワーク全体に広がり、対象PCの脆弱性を突いて侵入します。そのPCを踏み台にして他の機器に感染を移し、感染したPCをさらに利用して拡大します。PCワームは再帰的な戦略を用いるため、短期間で多数のPCに感染が広がる仕組みとなっています。これにより、ネットワーク帯域の浪費や、感染したPC上のファイルの破損・変更といった被害が生じることがあります。

ゼロデイ脆弱性とは、まだ修正されていない、または対策を講じるべき関係者（対象アプリのベンダーなど）がその存在を把握していない脆弱性のことです。この欠陥が解消されるまで、攻撃者はこれを利用してアプリやデータ、さまざまなシステム、組織などに被害を与える可能性があります。ゼロデイエクスプロイト（ゼロデイ攻撃とも呼ばれます）は、まだ修正されていない脆弱性を悪用する手法です。

「ゼロデイソフトウェア」は、もともと新しいソフトウェアが公開されてからの経過日数を示す言葉であり、リリース前に開発者のPCをハッキングして取得されたものを指していました。この表現は最終的に、そのようなハッキングを可能にした脆弱性や、ベンダーが修正に要した日数にも使われるようになりました。ベンダーは問題を把握すると、通常は修正や回避策を提供して問題を抑えます。

ゾンビとは、プログラマによりPC感染、ワーム、または誤誘導プログラムを通じて汚染されたウェブ接続PCのことです。プログラマの指示のもと、攻撃作業に利用されることがあります。通常、ゾンビPCはプログラマ管理のボットネットに集められ、メールのスパム送信や、サイトに対する分散型サービス妨害（DDoS）攻撃に用いられます。不幸なことに、多くの被害者は自社のPCがゾンビ化していると気づいておりません。ハイチのブードゥーの風習におけるゾンビとは、化学者により超自然的に蘇生された死体で、命令に従う存在であり、自由意志はありません。