データ実行防止 - Wikipedia
この項目では、Windowsの機能について説明しています。Windows以外のOSの機能については「実行保護」をご覧ください。 データ実行防止(データじっこうぼうし、英: Data Execution Prevention, DEP〈デップ[1]〉)は、Microsoft Windowsに搭載されているセキュリティ機能である。この機能の目的は、アプリケーションやサービスが実行不可能なメモリ領域からコードを実行することの防止である。これはある種の攻撃 (たとえばバッファオーバーフローを経由してコードを格納するもの) を防止する効果がある。DEPには2つの動作モードがある: メモリページを実行不可能とマークできるCPUのためのハードウェアDEPと、ハードウェアサポートがないCPUのためのソフトウェアDEPで、後者の防御はより限られている。ソフトウェアDEPはコードがデータページから実行されるこ
下村努 - Wikipedia
愛知県名古屋市生まれ[1]。父は、2008年にノーベル化学賞を受賞した生物発光研究者の下村脩。1歳で両親と共に渡米[3]、プリンストン(ニュージャージー州)で育つ[6]。10歳頃から、平均15歳位の子供達から成るコンピュータ・クラブに参加し、プリンストン大学工学部にあるコンピュータの操作にのめり込む。飛び級を重ね、中学を卒業しないまま[7]12歳頃には高校に上がる。この頃は両親との関係が芳しくなく、家より大学にいる時間が長かったという[8]。さまざまな学問に触れ、物理学と生物学とに惹かれる[9]中、15歳の時に、下村はそのコンピュータに関する能力を買われてプリンストン大学の天文学部で計算担当を務めるようになり、のちにアルバイトとして学部に雇われた[10]。しかし通っていたプリンストン高校では、成績が優れなかったこと、授業態度が教師に疎んじられたこと等により、3年生で放校となる[注釈 1]。
ザ・ハッカー - Wikipedia
『ザ・ハッカー』(Track Down または Takedown)は、2000年のアメリカ合衆国のサスペンス映画。 監督はジョー・チャペル、出演はスキート・ウールリッチとラッセル・ウォンなど。 ジョン・マーコフ(英語版)と下村努による著作『テイクダウン―若き天才日本人学者vs超大物ハッカー』を原作とし、コンピューターハッカーのケビン・ミトニックを主人公にしている。映画冒頭ではこれが実際の事件を脚色した作品であると但し書きが入る。 下村本人がカメオ出演しており、ミトニックの友人が劇中の下村自身を野次る(heckler)場面で、そこに同席している人物という役である[1]。 製作国である米国をはじめ、日本を含む多くの国では劇場公開されず、ビデオ(DVD)スルーされている。 日本では2000年9月8日にDVDが発売されている[2]。 仮釈放中のミトニックは、アイスブレーカーと名乗るハッカーから呼び
IPスプーフィング - Wikipedia
IPスプーフィング(アイピースプーフィング)とは、IP通信において、送信者のIPアドレスを詐称して別のIPアドレスに「なりすまし」(英:spoofing)を行う攻撃手法を指す。ハッキング、サイバーテロ(サイバー攻撃)の一つ。より原義に近い形としてIPアドレススプーフィングと呼ぶこともある。 IP通信において、不正アクセスを防止する観点からポリシーに基づくフィルタリングを行うケースは多く、「特定のIPアドレスからの接続のみ可能」といったアクセス制限が施されている場合がある。このようなアクセス制限が施されている状況下にあっても、送信元IPアドレスを詐称することができればアクセス制限を迂回できてしまうため、攻略対象システムへの不正アクセスを成功させる可能性が高まる。また、攻略対象システムに残されるログにも詐称されたIPアドレスが記録されるため、攻撃者が攻略対象システムの管理者による追跡を逃れられ
ケビン・ミトニック - Wikipedia
ロサンゼルス生まれ。3歳の時に両親が離婚し、ウェイトレスとして働く母に引き取られる。友達は少なく孤独だったケビンは、やがて市内の高校のコンピュータを使えるようになる。ネットワーク上でハッカーの友人ができ、「Condor」(コンドル)というニックネームがついた[7]。やがてフリーキング(Phreaking:電話回線のクラッキングによる「タダがけ」など)に関心を示し、それからコンピュータのクラッキングを行うようになったという。 コンピュータ会社のデータを盗んで禁固刑を受けたが、保護観察中に逃亡する。約2年間、ロサンゼルスやシアトルの捜査当局による捜索を逃れ続けた[7]。1994年12月25日からカリフォルニア大学サンディエゴ校にあるサンディエゴ・スーパーコンピュータ・センターに SYNフラッド攻撃や、シーケンス番号が予測可能な既知の脆弱性を利用して TCP コネクションをジャックし侵入に成功。
SYN flood - Wikipedia
通常のTCP接続。左側のユーザがサーバに接続する場合、3つの段階からなる手順が踏まれる。 SYN Flood 攻撃。攻撃者は SYN パケットを大量に送り、サーバの返答を無視する。サーバは返答が来るか、あるいは一定時間が経過するまで記憶領域を保持しつづけなければならず、この間通常のユーザの接続は受けられない。 SYN flood攻撃 (シン・フラッドこうげき[1][2][3]) とは、インターネットにおけるDoS攻撃(サービス拒否攻撃)のひとつ。インターネット上に公開されているウェブサーバなどの負荷を増大させ、対象となるサイトを一時的に利用不能に陥らせてしまう効果がある。 原理[編集] 一般に、インターネット上の TCP接続は次のような手順で行われる (3ウェイ・ハンドシェイク): クライアントが、サーバに対して TCP SYN パケットを送信する。 SYN パケットを受けとったサーバは、
セキュリティホール - Wikipedia
セキュリティホールが発生する原因は、プログラムや設定の間違い、設計上の考慮不足、保守のために故意に作られた機能に関する機密の漏洩などである。ソフトウェアの欠陥に限らず、ハードウェアの欠陥や、災害に対する弱さ、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃(ソーシャルエンジニアリング)といった様々な欠陥も、セキュリティホールに含めることがある。 セキュリティホールが残されていることにより、本来できないはずの操作(ある操作について権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、非公開のはずの情報が誰にでも取得できてしまうような、情報セキュリティ上の欠陥となる。 セキュリティホールは古くから存在したが、コンピュータネットワークの発展により、多くのコンピュータがネットワークを介した攻撃の脅威に晒されており、以前よりも脅威度が高まっている。 反対語はレジリエンス
エクスプロイト - Wikipedia
エクスプロイト (英: exploit) とは、情報セキュリティにおいて、脆弱性を利用してコンピュータを攻撃するための具体的な手段、または、脆弱性を利用して標的を攻略することをいう[1]。 エクスプロイトとは、コンピュータのソフトウェアやハードウェアの脆弱性を利用し、コンピュータに異常な動作をさせるために書かれた、スクリプトまたはコードである。脆弱性を検証するための実証コード(Proof of concept:PoC)を指すこともある。また、前記のようなスクリプトやプログラムを用いて攻撃すること自体もエクスプロイトと呼ばれる[2]。そのため、前記のようなスクリプトやプログラムについては、エクスプロイトコード(exploit code)と呼んで区別する場合もある。エクスプロイトコードは、コンピューターに害をなす不正プログラムの一種であるため、エクスプロイトコードを表示、取得、記述、保存等した
脆弱性情報データベース - Wikipedia
脆弱性情報データベース(ぜいじゃくせいじょうほうデータベース)とは、脆弱性に関する情報をデータベース化し、広く一般に公開するためのプラットフォームである。 脆弱性(情報)データベースは、「脆弱性は全ての情報が詳細にわたって一般に公開されているべき」とするフルディスクロージャ運動の具現化の一つである。このようなデータベースの構築によって、フルディスクロージャとしての利点「設計者や開発者が過去の失敗から学ぶことが可能」といった点を補助するものとなり得る。 このようなデータベースが作成されるまでは、脆弱性情報を統一的に扱う仕組みは存在しておらず、せいぜい脆弱性を取り扱うツール(SATAN(Security Administrator's Tool for Analyzing Network)やSAINT(Security Administrator's Integrated Network To
サイバー・ノーガード戦法 - Wikipedia
サイバー・ノーガード戦法(サイバーノーガードせんぽう)は、意図的にセキュリティ対策を放棄してコンピュータを利用すること[1]。 この用語は、情報セキュリティを専門とするニュースサイトの Scan NetSecurity が2004年に考案した[2]。背景として、前年にコンピュータソフトウェア著作権協会 (ACCS) のWebサイトの脆弱性を公の場で指摘した京大研究員が、礼を言われるどころか逆に不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)違反と威力業務妨害の疑いで逮捕されるという事件があった[3]。Scan NetSecurity はこの件で、不手際のあったサーバ管理者側が刑事責任を問われず、個人情報漏洩の被害者に補償も行われなかったことに着目し、セキュリティ対策の意図的な放棄は、費用を節約できリスクも無視できる「新しい形の防御方法ともいえるのではないか」と逆説的に主張した[4
Category:エクスプロイト - Wikipedia
下位カテゴリ このカテゴリには下位カテゴリ 4 件が含まれており、そのうち以下の 4 件を表示しています。
ディレクトリトラバーサル - Wikipedia
この記事には参考文献や外部リンクの一覧が含まれていますが、脚注による参照が不十分であるため、情報源が依然不明確です。 適切な位置に脚注を追加して、記事の信頼性向上にご協力ください。(2019年4月) ディレクトリトラバーサル (英語: directory traversal) とは、利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。 この攻撃の目標は、アクセス可能にすることを意図していないファイルへのアクセスをアプリケーションに命令することである。この攻撃は、コードに含まれるバグの攻撃とは対照的に、セキュリティの欠如 (ソフトウェアがまさにそう振る舞うことになっている動作) を攻撃する。 ディレクトリトラバーサルには ../
クロスサイトリクエストフォージェリ - Wikipedia
クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある[2][3])、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の
侵入検知システム - Wikipedia
本稿では、侵入検知システム、およびこれと関連が深い侵入防止システムについて述べる。侵入検知システム(しんにゅうけんちシステム。Intrusion Detection System。略して IDS)はシステムやネットワークに発生するイベントを監視し、それを分析する事で、ホストやポートをスキャンするような偵察行為や不正侵入などインシデントの兆候を検知し、管理者に通知するシステムである[1][2]。一方侵入防止システム(しんにゅうぼうしシステム、英: Intrusion prevention system 略称: IPS)も不正侵入の兆候を検知するところまではIDSと同様だが、検知した不正を自動的に遮断するところに違いがある。両者を合わせてIDPSという場合もある[3]。 IDPSは誤検知を起こす事があるので、誤検知を減らすようIDPSの設定を変更してチューニングする必要がある[4]。特にIPS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Computer security conference - Wikipedia
Category:ウェブ・セキュリティの弱点への攻撃 - Wikipedia