この用語集には、セキュリティ ドキュメント全体で参照されている技術用語の集合が記載されています。
- 管理者権限(Administrator privileges)
- システムの最高レベルの権限アカウント設定。これらの権限により、サイト全体の削除、パスワードのリセット、ファイルのアップロードなどの操作が可能になります。
- バックドア
- システムにインストールされるプログラム。認証コントロールをバイパスし、ハッカーによるそのシステムへのアクセスを維持します。
- クローキング
人間のユーザーと検索エンジンに異なるコンテンツや URL を表示する行為。
たとえば、動的スクリプトと
.htaccessルールは、処理中のリクエストに基づいてステータス コードを返すことができます。ハッカーは、クローキングを使って特定の IP アドレスやブラウザに 404 または 500 エラーコードを返し、他の IP アドレスやブラウザにスパムを配信します。- 構成ファイル
データベースの場所や動的サイトの認証情報などの情報を格納するファイル。
- コンテンツ管理システム(Content Management System(CMS))
ウェブサイトの作成と編集を支援するソフトウェア パッケージ。WordPress、Drupal、Joomla! などがありますが、カスタムビルドのものを含め、他にも多くのサービスがあります。
- デジタル フォレンジック スペシャリスト(Digital forensic specialists)
サイトのクリーンアップと不正使用の検知を支援できる人またはチーム。
- 静的ウェブページ(Static web page)
ウェブサイトのコンテンツを表示する 1 つの変更のないファイルで構成されるウェブページ。
- 動的ウェブぺージ(Dynamic web page)
スクリプトとテンプレートを使用してサイトのコンテンツを生成するウェブページ。 ページがリクエストされるたびに、各ページを再度生成します。
eval()文字列を評価して結果を返す PHP と JavaScript の関数。サイトでユーザー入力を処理する場合は、評価関数の使用は推奨されません。これは、攻撃者が(有害な PHP コマンドを注入するなどして)悪意のあるコードを侵入させるおそれがあるためです。
- FTP(ファイル転送プロトコル)
あるマシンから別のマシンにファイルを転送するために使用されるプロトコル。
- 隠しファイル(Hidden files)
デフォルトではディレクトリに表示されないファイル。 通常、重要な情報が誤って変更されないようにするために、
.htaccessなどのファイルは非表示になります。隠しファイルを表示、編集できるようにファイル システムを構成する必要があります。- HTTP ステータス コード
ページの読み込み時やコメントの送信時など、ユーザーがページを操作しようとしたときにウェブサーバーがコンテンツとともに返す標準化されたレスポンス。これらのコードにより、ユーザーはウェブサイトがどのように応答しているかを把握したり、エラーを特定したりできます。ステータス コードとその意味の一覧については、World Wide Web Consortium のステータス コードのページをご覧ください。
- iFrame
ウェブページ内のコンテンツを別のページ内に表示するためのコード。 隠し iframe は、ハッカーがユーザーを自分のサイトにリダイレクトするために使用される一般的な戦術です。
- ログファイル
ウェブサーバーがユーザー リクエストを記録し、サーバーで実行されたすべてのアクティビティを追跡するファイル。ログファイルを確認すると、ハッキングの試みやサイトへの不審なトラフィックを特定できます。
- マルウェア
コンピュータ、コンピュータで実行されているソフトウェア、またはコンピュータのユーザーに危害を与えるように特別に設計されたソフトウェア。詳細については、マルウェアと望ましくないソフトウェアをご覧ください。
- 難読化(Obfuscation)
ハッカーが、コードを読みにくくすることで、コードを解釈する人々を混乱させる手法です。ハッカーによる一般的な難読化の手法には、文字の置換、変数名を意図的に混乱させる、
base64、rot13、gzip、URL エンコード、16 進数エンコード、またはこれらの組み合わせなどが挙げられます。base64やgzipなどの一部の難読化方法は、Web Shell 全体など、大量のコードを圧縮して隠すためにも使用されます。- フィッシング
信頼できる差出人になりすまして、ユーザーをだましてユーザー名やパスワードなどの機密情報を提供させるソーシャル エンジニアリングの一種。たとえば、フィッシング犯が銀行を装った潜在的な被害者にメールを送信し、銀行口座の認証情報を尋ねることがあります。詳細については、フィッシング攻撃の防止と報告をご覧ください。
- Search Console
Google 検索の検索結果におけるサイトのパフォーマンスを確認、管理できる Google の無料サービスです。また、Google は Search Console を使用して、ウェブサイトの問題についてサイト所有者に連絡しています。詳しくは、Search Console についてをご覧ください。
- サイトマップ
サイト上のウェブページのリストを含むファイル。サイトのコンテンツの構成に関する情報を検索エンジンに伝えます。詳しくは、サイトマップについてをご覧ください。
- ソーシャル エンジニアリング
コードを直接攻撃するのではなく、人をだましてアクセスを提供させようとすることで、機密情報へのアクセスまたは制御を取得する手法。フィッシングは、最も一般的なソーシャルエンジニアリングの一種です。詳しくは、ソーシャル エンジニアリング(フィッシングや偽のサイト)をご覧ください。
- トラフィック スパイク(Traffic spike)
ウェブサイトのトラフィックが突然または予期せず急増すること。
- 2 段階認証プロセス(Two-factor authentication(2FA))
少なくとも 2 つの証明トークンを要求することでアカウントのログインを保護するためのセキュリティ メカニズム。たとえば、2 要素認証を使用しているユーザーがアカウントにアクセスするには、SMS で受け取ったパスワードとセキュリティ コードの両方が必要になる場合があります。
- ウェブ ホスティング サービス(Web hosting service)
Google サイトなどのウェブサーバーでサイトをホストするスペースをユーザーに提供するサービス。サービスによっては、追加の機能やツールを利用できる場合があります。
- ウェブ スクリプト言語(Web scripting languages)
フォームの処理、コメントの管理、特別な視覚効果などの追加機能をサイトに追加するために、HTML とともによく使用されるコーディング言語。リカバリ ガイドでは、PHP または JavaScript を参照するためにスクリプト言語を使用しています。
PHP はサーバー側のスクリプト言語であり、ウェブサーバーがそのコマンドを解釈して実行します。JavaScript は主にクライアント側の言語です。つまり、ユーザーのブラウザがそのコマンドを解釈して実行します。
- ウェブサーバー
ウェブサイトに関連するウェブページやその他のファイルをホスト、管理するマシンとソフトウェア。
- ウェブシェル(Web shell)
攻撃者によるサーバーへのアクセス維持を可能にするバックドア・スクリプトです。
- ウェブスパム
検索エンジンを欺いて操作することで、サイトのランキングや人気度を高めようとする不正な検索エンジン最適化(SEO)戦術やスパム コンテンツ。