スプーフィング攻撃
出典: フリー百科事典『ウィキペディア(Wikipedia)』
この記事は英語版の対応するページを翻訳することにより充実させることができます。(2024年12月)
翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。
- 英語版記事を日本語へ機械翻訳したバージョン(Google翻訳)。
- 万が一翻訳の手がかりとして機械翻訳を用いた場合、翻訳者は必ず翻訳元原文を参照して機械翻訳の誤りを訂正し、正確な翻訳にしなければなりません。これが成されていない場合、記事は削除の方針G-3に基づき、削除される可能性があります。
- 信頼性が低いまたは低品質な文章を翻訳しないでください。もし可能ならば、文章を他言語版記事に示された文献で正しいかどうかを確認してください。
- 履歴継承を行うため、要約欄に翻訳元となった記事のページ名・版について記述する必要があります。記述方法については、Wikipedia:翻訳のガイドライン#要約欄への記入を参照ください。
- 翻訳後、
{{翻訳告知|en|Spoofing attack|...}}をノートに追加することもできます。 - Wikipedia:翻訳のガイドラインに、より詳細な翻訳の手順・指針についての説明があります。
スプーフィング攻撃(英: spoofing attack)は情報セキュリティ、特にネットワーク・セキュリティにおいて、不正なデータを用いることにより、攻撃者や攻撃用プログラムを別の人物やプログラムに見せかける事を利用した攻撃。
なお、動詞spoofはホラ話など真実でない事を冗談として他人に信じ込ませる行為を指し[1] [2] 、日本語に訳せばだます、かつぐ、からかう[3] といった意味になる。
CAPECにはスプーフィング攻撃として以下のものが登録されている(以下のものを更に細分化した下位項目の「spoofing」も登録されているが、説明を省略した)。
- Identity Spoofing(CAPEC-151):(人間もしくはそれ以外の)何らかの主体になりすまして行う攻撃一般的を指し、具体的にはフィッシングやファーミング、他人になりすましてデータを送りつける攻撃などを指す[4] 。
- Content Spoofing(CAPEC-148):コンテンツのソースを変えることなく中身を書き換える攻撃。Webページの改竄が典型的だがDNSキャッシュポイズニングなどキャッシュポイズニング系の攻撃も含まれる[5] 。
- Action Spoofing(CAPEC-173):不正な行為をそれとは別の正当な行為に偽装する攻撃。例えばクリックジャッキングや正当な目的を装ってユーザにパスワードを入力させる事でパスワードを盗むアプリなどがこれに相当する[6] 。
- Resource Location Spoofing(CAPEC-154):リソースの位置を偽装する攻撃。ユーザにとって必要なライブラリの位置を偽装して偽のライブラリをインストールさせるなどの攻撃[7] 。
それに対し、CWEにはスプーフィングによる認証のバイパス(Authentication Bypass by Spoofing)がCWE-290として登録されており[8] 、具体例としてIPスプーフィングを利用した認証のバイパスが載っている。
関連項目
[編集 ]脚注
[編集 ]- ^ "Cambridge Dictionary「spoof」". 2016年9月27日閲覧。
- ^ "「spoof」". Dictionary.com. 2016年9月27日閲覧。
- ^ "spoof". Weblio 「英和辞典」. 2016年9月28日閲覧。
- ^ "CAPEC-151: Identity Spoofing". Common Weakness Enumeration. 2016年9月30日閲覧。
- ^ "CAPEC-148: Content Spoofing". Common Weakness Enumeration. 2016年9月30日閲覧。
- ^ "CAPEC-173: Action Spoofing". Common Weakness Enumeration. 2016年9月30日閲覧。
- ^ "CAPEC-154: Resource Location Spoofing". Common Weakness Enumeration. 2016年9月30日閲覧。
- ^ "CWE-290:Authentication Bypass by Spoofing". Common Weakness Enumeration. 2016年12月6日閲覧。