多くの組織がWebサイトを持つようになり、Webページ上でユーザーからの入力データを受け付けるためのWebアプリケーションが広く利用されている。ここではHTTPとウェブアプリケーションの脆弱性と対策について解説する。 3.6.1 HTTPとウェブアプリケーション…

3.5.1 DNSの脆弱性 2.6節でも触れたように、DNSについては、次のような脆弱性が指摘されている。 1 ゾーン転送機能によって第三者に登録情報が不正利用される可能性がある。 ゾーン転送要求は、セカンダリDNSサーバとプライマリDNSサーバの登録内容を同期さ…

電子メールを実装しているSMTP（Simple Mail Transer Protocol）やPOP3（Post Office Protocol Vershion3）はDNSやHTTPと並んで古くから普及しているサービスである。古くから使われている分、プロトコルの使用や実装において数多くのセキュリティ上の問題点…

3.2.1 ネットワーク構成における脆弱性 ネットワーク構成（トポロジ、セグメンテーション、回線、通信機器の種類・配線など）における脆弱性を次に示す。 ● 機密性、関税生の侵害につながる脆弱性の例 機密性、完全生の侵害につながる脆弱性の例として、次の…

3.1.1 脆弱性とは 情報セキュリティにおける脆弱性とは、組織や情報システム、物理環境など、情報取り扱いに関わる様々な構成要素の中にあって、情報の漏洩や損失、改竄などのリスクを発生しやすくしたり、拡大させたりする要因となる弱点や欠点のことである…

マルウェア（malware）とは、コンピュータウイルス、トロイの木馬、ボット、ランサムウェアなど、利用者の意図に反する不正な振る舞い（情報収集・侵入・妨害・破損など）をするように作られたプログラムやスクリプトなどをいう。ここではマルウェアの攻撃に…

近年、Webアプリケーションの入力データチェック不備などの脆弱性を悪用し、不正なスクリプトや命令を実行させる攻撃が多発している。ここではそうした攻撃の仕組みと対策について解説する。 2.8.1 不正なスクリプトや命令を実行させる攻撃の種類 Webアプリ…