セキュリティ対策入門

セキュリティに関して学んだことを黙々と綴るブログです

Fault Injection

フォルト・インジェクション

引用元:

https://capec.mitre.org/data/definitions/624.html 

説明:

破壊的な信号またはイベント(例えば、電磁パルス、レーザーパルス、クロックグリッチなど)を使用して、電子機器に誤った動作を引き起こす攻撃。
たとえば、暗号操作を実行するデバイス上で制御された方法で実行されると、この誤った振る舞いを利用して秘密鍵情報を導き出すことができる。

関連する弱点:

なし。

 

Hardware Integrity Attack

ハードウェア整合性攻撃

引用元:

https://capec.mitre.org/data/definitions/440.html 

説明:

システムのメンテナンスプロセスの弱点を悪用して、被害者がシステムを使用している間に、テクノロジ、製品、コンポーネント、またはサブコンポーネントに対して、攻撃を実行することを目的に変更を加える攻撃。

関連する弱点:

なし。

 

Object Injection

オブジェクト挿入

引用元:

 https://capec.mitre.org/data/definitions/586.html

説明:

シリアル化されたオブジェクトの処理中に、悪意のあるコンテンツを挿入することによってアプリケーションを不正利用しようとする攻撃。

開発者は、ディスクに保存したりネットワークを介して転送したりするために、データや状態を静的なバイナリ形式に変換するためにシリアル化を利用する。これらのオブジェクトは、データ/状態を回復するために必要なときに逆シリアル化される。不正なオブジェクトを脆弱なアプリケーションに挿入することで、攻撃者は逆シリアル化プロセスを操作してアプリケーションを危険にさらす可能性がある。これにより、リモートでコードが実行されるなど、望ましくない結果が多数発生する可能性がある。

関連する弱点:

CWE-ID Weakness Name
502 Deserialization of Untrusted Data

 

Local Execution of Code

コードのローカル実行

引用元:

 https://capec.mitre.org/data/definitions/549.html

説明:

悪意のあるプログラムをターゲットシステムにインストールして実行することで技術的な悪影響を及ぼす攻撃。例えば、ルートキットランサムウェアスパイウェアアドウェアなどがある。

関連する弱点:

なし。

 

Contaminate Resource

汚染リソース

引用元:

https://capec.mitre.org/data/definitions/548.html 

説明:

ターゲットで許可されていない分類/機密性の情報をターゲットに扱わせることによって、組織の情報システム(デバイスやネットワークを含む)を汚染する攻撃。

関連する弱点:

なし。