⚠ サイトの改ざん・マルウェア被害にお困りの方はこちら

サイトドックのセキュリティ用語解説

Webサイトのセキュリティでよく出てくる用語を51語、「定義 → なぜ危険か → 確認方法」の順でやさしく解説します。各用語ページから無料健診へ進めます。

Webアプリの脆弱性

SQLインジェクション

入力値を悪用してデータベースを不正操作される攻撃。情報漏洩や改ざんに直結します。

クロスサイトスクリプティング

悪意あるスクリプトを他の利用者のブラウザで実行させる攻撃。Cookieやセッションを盗まれます。

クロスサイトリクエストフォージェリ

ログイン中の利用者に意図しない操作を実行させる攻撃。設定変更や送金に悪用されます。

ディレクトリトラバーサル

「../」などでファイルパスを遡り、公開範囲外のファイルを読み取られる攻撃。

OSコマンドインジェクション

入力値を悪用してサーバ上で任意のOSコマンドを実行される攻撃。乗っ取りに直結します。

リモートコード実行

遠隔から任意のプログラムを実行される最も危険な脆弱性。サーバ乗っ取りの典型。

サーバサイドリクエストフォージェリ

サーバに任意の宛先へ通信させ、内部ネットワークやクラウドメタデータを窃取される攻撃。

XML外部実体参照

XMLの外部実体機能を悪用し、サーバ内ファイル読み取りや内部通信を行わせる攻撃。

オープンリダイレクト

自サイトを踏み台に任意の外部サイトへ誘導される問題。フィッシングに悪用されます。

安全でない直接オブジェクト参照

IDを書き換えるだけで他人のデータにアクセスできてしまう認可の不備。

危険なファイルアップロード

実行可能ファイルを設置され、サーバ乗っ取り(Webシェル)に至る問題。

クリックジャッキング

透明な枠を重ね、利用者に気づかせず意図しない操作をさせる攻撃。

認証・認可・セッション

ブルートフォース攻撃

パスワードを片端から試して突破する攻撃。弱いパスワードや無制限な試行が原因。

クレデンシャルスタッフィング

他サービスから漏れたID/パスワードの一覧で不正ログインを試みる攻撃。

セッションハイジャック

ログイン状態を表すセッションを盗み、本人になりすます攻撃。

アクセス制御の不備

権限チェックの漏れで、一般利用者が管理機能や他人のデータに到達できる問題。

初期パスワード・デフォルト認証情報

出荷時の既定ID/パスワードが残ったまま公開され、容易に侵入される問題。

Cookie の HttpOnly / Secure 属性

Cookieの保護属性。未設定だとログイン情報を盗まれやすくなります。

セキュリティヘッダ

CSP(コンテンツセキュリティポリシー)

読み込んでよいスクリプト等の取得元を制限するヘッダ。XSSの最後の砦。

X-Frame-Options

自サイトを他サイトのフレームに埋め込ませない設定。クリックジャッキング対策。

X-Content-Type-Options

ブラウザのファイル種別の推測を止める設定(nosniff)。誤実行を防ぎます。

通信の暗号化・証明書

HTTPS / TLS(通信の暗号化)

通信を暗号化し盗聴・改ざんを防ぐ仕組み。未対応サイトは入力情報が傍受されます。

HSTS(常時HTTPS)

常にHTTPSで接続させるヘッダ。未設定だとHTTPへ誘導され盗聴される余地が残ります。

中間証明書

信頼の連鎖をたどる中間CA証明書。欠落すると証明書エラーになります。

混在コンテンツ

HTTPSページ内にHTTPの要素が混ざる状態。暗号化が部分的に破れます。

TLS証明書の有効期限切れ

証明書の期限切れでブラウザに警告が出て、サイトが実質利用不能になる問題。

メール・ドメイン

SPF(送信元認証)

そのドメインからメールを送ってよいサーバを宣言する仕組み。なりすまし対策の基本。

DMARC(なりすまし対策)

なりすましメールの扱い(隔離・拒否)を指示する仕組み。SPF/DKIMの総仕上げ。

DKIM(電子署名)

送信メールに電子署名を付け、改ざんと正規送信元を検証できる仕組み。

攻撃・脅威の種類

フィッシング

正規を装った偽サイト・偽メールで認証情報や個人情報を盗む攻撃。

ランサムウェア

データを暗号化し身代金を要求するマルウェア。事業停止級の被害を招きます。

中間者攻撃

通信の途中に割り込み、盗聴・改ざんを行う攻撃。暗号化が防御の要。

DoS / DDoS

大量のアクセスでサービスを停止させる攻撃。可用性が狙われます。

サプライチェーン攻撃

利用しているライブラリや取引先を経由して侵入する攻撃。

ゼロデイ

修正が未提供の脆弱性を突く攻撃。防御が間に合わない最も厄介な脅威。

WordPress・CMS

WordPress

世界で最も使われるCMS。プラグインやテーマ、本体の脆弱性・設定不備が狙われやすい。

WPScan

WordPress専用の脆弱性スキャナ。本体・プラグイン・テーマの既知脆弱性やユーザーを検出。

脆弱なプラグイン・テーマ

WordPress侵害の最大の入口。古い・脆弱なプラグインやテーマの既知脆弱性が悪用される。

ユーザー名列挙(WordPress)

投稿者アーカイブやREST APIからログインユーザー名を外部から特定される問題。

XML-RPC(xmlrpc.php)

WordPressの外部連携API。総当たりの効率化やDDoSの踏み台に悪用されることがある。

設定ファイル・バックアップの露出

wp-config.phpやDBバックアップ、debug.logが公開され、認証情報や内部情報が漏れる問題。

診断・運用・指標

CVE(共通脆弱性識別子)

公表された脆弱性に付く世界共通の識別番号。優先対応の手掛かり。

CVSS(深刻度スコア)

脆弱性の深刻度を0〜10で表す世界標準の指標。対応の優先度付けに使います。

OWASP Top 10

Webの代表的なリスク10種をまとめた世界的なガイド。診断の基準になります。

WAF(Web Application Firewall)

Webアプリ向けの防御。不正なリクエストを検知・遮断する緩和策。

ペネトレーションテスト

攻撃者目線で実際に侵入を試み、悪用可能性まで検証する手動中心の評価。

脆弱性診断

既知の弱点を網羅的に洗い出す評価。広く浅く全体像を把握します。

ポートスキャン

外部から接続できるポート(入口)を調べること。不要な開放は攻撃の入口に。

SRI(サブリソース完全性)

外部スクリプト等の改ざんをハッシュで検証する仕組み。配信元侵害の被害を防止。

情報漏洩・情報露出

エラーや設定の不備で内部情報が漏れる問題。攻撃の手掛かりを与えます。

ディレクトリリスティング

フォルダ内のファイル一覧が見えてしまう設定不備。情報露出につながります。

日本情報基盤サービス株式会社/JIISセキュリティラボ / www.jiis.co.jp
本ページは一般的な解説であり、個別の環境での適用は専門家にご相談ください。