The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

ハッキングされたサイトに関する用語集

この用語集には、セキュリティに関する文書で言及される技術用語が収められています。アルファベット順にリストし、用語(太字)の後にその用語の定義を示します。

管理者権限(Administrator privileges)
管理者権限とは、システムで最上位の権限が付与されるアカウント設定です。このタイプの権限では、サイト全体の削除、パスワードのリセット、ファイルのアップロードなどの操作が許可されます。

バックドア(Back door)
バックドアとは、認証管理を回避してアクセスを維持することを目的としてシステムにインストールされるプログラムです。

クローキング(Cloaking)
クローキングとは、ユーザーや検索エンジンに対しそれぞれ異なるコンテンツや URL を表示する行為です。

たとえば、動的なスクリプトや .htaccess ルールでは、リクエストの処理に基づいてステータス コードが返されることがあります。この手法を使って、ハッカーは一部の IP アドレスやブラウザには 404 または 500 のエラーコードを返して痕跡を隠し、他の IP アドレスやブラウザにはスパムを配信します。

設定ファイル(Configuration files)
データベースの場所や動的なサイトの認証情報などの情報を保存する場合に使うファイルです。

コンテンツ管理システム(Content Management System(CMS))
コンテンツ管理システムとは、ユーザーがウェブサイトを簡単に作成、編集することができるソフトウェア パッケージです。たとえば、WordPress、Drupal、Joomla! がありますが、カスタム製品など、他にも多くの CMS があります。

デジタル フォレンジック スペシャリスト(Digital forensic specialists)
サイトの問題を修正し、サイトがどのように不正使用されていたかを特定できるよう支援する人またはチームです。

静的ウェブページ(Static web page)
静的ウェブページには、ウェブサイトのコンテンツを表示する 1 つの不変のファイルが含まれます。

動的ウェブぺージ(Dynamic web page)
動的ウェブページは、スクリプトを使ってサイト上のコンテンツを生成します。動的ウェブページでは、リクエストを受けるたびにソフトウェアを使ってページが生成され、スクリプトとテンプレートの組み合わせを使ってコンテンツを配置します。

eval()
PHP と JavaScript で、eval() は文字列を評価して結果を返す関数です。サイトでユーザー入力を処理する場合は eval 関数を使用しないことをおすすめします。この関数には、攻撃者が悪意のあるコードを挿入させる(つまり、有害な PHP コマンドを注入する)ことができる脆弱性があります。

FTP
ファイル転送プロトコル(File Transfer Protocol: FTP)は、マシン間でファイルを転送する場合に使うプロトコルです。

隠しファイル(Hidden files)
隠しファイルとは、デフォルトではディレクトリに表示されないファイルです。通常、.htaccess などのファイルは、重要な情報が間違って変更されないよう保護するため表示されません。隠しファイルの表示と編集を可能にするには、ファイルシステムの設定が必要です。

HTTP ステータス コード
HTTP ステータス コードとは、ページの読み込みやコメントの送信など、ユーザーがページを操作しようとしたときにウェブサーバーがコンテンツと一緒に返す定型の応答です。このコードから、ユーザーはウェブサイトがどのように応答しているかどうかを理解し、エラーを特定することができます。ステータス コードとその意味の完全なリストについては、World Wide Web Consortium のステータスコードのページをご覧ください。

iframe
iframe によって、あるウェブページのコンテンツを別のウェブページ内に表示できます。隠し iframe は、ハッカーが自分のサイトにユーザーをリダイレクトさせるときに用いる一般的な手法です。

ログファイル(Log file)
ログファイルとは、ウェブサーバーがユーザー リクエストを記録するファイルで、そのサーバー上で実行されたすべてのアクティビティが記録されます。ログファイルを調べることで、サイトに対するハッキング行為や不審なトラフィックを特定できます。

マルウェア(Malware)
マルウェアとは、パソコン、パソコンで実行されているソフトウェア、またはそのユーザーに危害を加えることを目的としたソフトウェアです。マルウェアの詳細

難読化(Obfuscation)
難読化とは、コードを読みにくくすることでコードの解釈を混乱させるために使う手法です。ハッカーによる一般的な難読化の手法には、文字の置換、変数名の意図的な混乱、base64、rot13、gzip、url エンコーディング、16 進数エンコーディング、またはそれらの組み合わせがあります。また、base64、gzip などの手法は、ウェブシェル全体などの大量のコードを圧縮して隠す場合にも使われることがあります。

フィッシング(Phishing)
フィッシングはソーシャル エンジニアリングの 1 つの手法で、信頼できるソースを装ってユーザーをだまし、機密情報(ユーザー名、パスワードなど)を提供させます。たとえば、フィッシング詐欺では、銀行のふりをして狙った相手にメールを送り、銀行口座の認証情報を聞き出します。フィッシングの詳細

Search Console
Google Search Console は、Google 検索結果でのサイトの掲載順位の監視、管理に役立つ Google の無料サービスです。Google では、ウェブマスターにウェブサイトの問題を伝える場合にも Search Console を使用します。 Search Console の詳細

サイトマップ(Sitemap)
サイトマップとは、サイト上のウェブページのリストが含まれ、検索エンジンにサイトのコンテンツの構成を伝えるファイルです。 サイトマップの詳細

ソーシャル エンジニアリング(Social engineering)
ソーシャル エンジニアリングとは、コードを直接攻撃するのではなく、人をだましてアクセス権を提供させるよう試みることで、機密情報へのアクセスやその制御を奪う手法です。ソーシャル エンジニアリングの最も一般的な手法の 1 つがフィッシングです。 ソーシャル エンジニアリングの詳細

トラフィック スパイク(Traffic spike)
トラフィック スパイクとは、ウェブサイト トラフィックの急増または予想外の増加です。

2 段階認証プロセス(Two-factor authentication(2FA))
2 段階認証プロセスとは、少なくとも 2 つの証拠を要求することでアカウントのログインを保護するセキュリティ メカニズムです。たとえば、2 段階認証プロセスを使用するユーザーは、自分のアカウントにアクセスするためにパスワードと SMS から届いたセキュリティ コードの両方が必要になります。

ウェブ ホスティング サービス(Web hosting service)
ウェブ ホスティング サービスは、Google サイトなど、ウェブサーバー上でサイトをホストするスペースをユーザーに提供します。サービスに応じて、他の機能やツールが利用できることもあります。

ウェブ スクリプト言語(Web scripting languages)
通常、ウェブ スクリプト言語は、サイトに機能を追加するために HTML と組み合わせて使用します。たとえば、フォームを処理する、不適切なコメントを削除する、特殊な視覚効果を作る場合などに使われます。ここでは、ハッキングされたサイトの復旧についてのガイドで、PHP または JavaScript のいずれかを指す場合にスクリプト言語という言葉を使っています。

PHP はサーバー側のスクリプト言語で、ウェブサーバーがそのコマンドを解釈して実行します。

Javascript は主としてクライアント側の言語で、ユーザーのブラウザがそのコマンドを解釈して実行します。

ウェブサーバー(Web server)
ウェブサーバーとは、ウェブページと、ウェブサイトに関連するその他のファイルをホストし管理するマシンとソフトウェアです。

ウェブシェル(Web shell)
ウェブシェルとはバックドア スクリプトで、これによって攻撃者はサーバー上でアクセスを維持します。

ウェブスパム(Webspam)
ウェブスパムとは、検索エンジンを欺いて操作し、サイトのランキングや人気度を上げることを試みる、ブラックハットの検索エンジン最適化(SEO)手法またはスパム コンテンツです。