脅威クラス・リスト

脅威クラス	説明
catAbuseOfFunctionality	Web サイトそのものの機構や機能を使って、アクセス制御メカニズムを消費、籠絡、または迂回する攻撃手法。
catApplicationMisconfiguration	以下の攻撃は、Web アプリケーションに見つかる構成の弱点を悪用します。
catPrivacy	重要情報がクリア・テキストでディスクに保存されています。
catQuality	セキュリティー・メカニズムの構成ミスまたは欠陥は、悲惨な結果をもたらす可能性があります。
catBruteForce	個人のユーザー名、パスワード、クレジット・カード番号、暗号鍵の推測に使用する、トライアル・アンド・エラーの自動プロセス。
catBufferOverflow	割り当てられたバッファー・サイズを超えるデータでメモリーの一部を上書きすることで、アプリケーションの流れを変更する攻撃。
catContentSpoofing	Web サイトに表示されているコンテンツが外部ソースに由来するものではない正当なコンテンツであるとユーザーに信じ込ませる攻撃技法。
catCredentialSessionPrediction	特定のセッションまたはユーザーを識別する固有な値を推定または推測することで、Web サイトのユーザーのコントロールを奪う、またはそのユーザーになりすますメソッド。
catCrossSiteRequestForgery	被害者としてアクションを実行するために、被害者に対して、被害者の認識や意図なしに HTTP 要求をターゲット宛先に送信するように強制する攻撃。
catCrossSiteScripting	攻撃者が組み込んだ実行可能コードを Web サイトで強制的にエコー出力させ、ユーザーのブラウザーにロードさせる攻撃手法。
catDenialOfService	Web サイトの通常のユーザー処理の実行を妨害することを意図した攻撃手法。
catDirectoryIndexing	自動ディレクトリー・リスト作成/索引作成は Web サーバーの機能で、通常の基本ファイル (index.html/home.html/default.htm) が存在しない場合に、要求したディレクトリー内のすべてのファイルをリストします。ソフトウェアに脆弱性がある状態で特定の Web 要求を実行すると、意図しないディレクトリー・リスト作成が可能になることがあります。
catFingerprinting	攻撃者の最も一般的な方法は、ターゲットの Web プレゼンスにまずフットプリントを付け、できるだけ多くの情報を列挙することです。攻撃者はこの情報を使用して、正確な攻撃シナリオを作成できます。このシナリオでは、ターゲット・ホストによって使用されているソフトウェアのタイプ/バージョンにおける脆弱性を効果的に悪用します。
catFormatStringAttack	ストリング書式制御ライブラリー機能を使って他のメモリー・スペースにアクセスすることで、アプリケーションの流れを変更する攻撃。
catHTTPRequestSmuggling	2 つの HTTP デバイス間の RFC に準拠していない HTTP 要求の構文解析における矛盾を悪用する攻撃手法で、最初のデバイスを通じて 2 番目のデバイスに要求をスマグリングします。
catHTTPRequestSplitting	HTTP リクエスト分割は、ブラウザーに任意の HTTP 要求を送信するよう強制することができる攻撃で、XSS に負担をかけ、ブラウザーのキャッシュを汚染します。
catHTTPResponseSmuggling	サーバーから単一の応答を予期 (または許可) している中間 HTTP デバイスを通じて、サーバーからクライアントに 2 つの HTTP 応答を「スマグリング」(密輸) する手法です。
catHTTPResponseSplitting	HTTP レスポンス分割の基本は、攻撃者が Web サーバーに出力ストリームを形成させる単一の HTTP 要求を送信し、ターゲットにその出力を 1 つの HTTP 応答ではなく、2 つの HTTP 応答として解釈させることができるということです。
catImproperFilesystemPermissions	Web アプリケーションの機密性、保全性、および可用性への脅威。この問題は、誤ったファイル・システム許可がファイル、フォルダー、およびシンボリック・リンクに対して設定されている場合に生じます。
catImproperInputHandling	今日、アプリケーション全般で特定される最も一般的な弱点の 1 つです。不適切に処理された入力は、システムおよびアプリケーションに存在する重大な脆弱性の背後にある主な原因です。
catImproperOutputHandling	アプリケーションに不適切な出力処理があると、出力データが取り込まれて、脆弱性やアプリケーション開発者が意図しないアクションを引き起す原因となる場合があります。
catInformationLeakage	アプリケーションが機密データ (Web アプリケーション、環境、およびユーザー固有のデータの技術的詳細など) を漏えいするアプリケーションの弱点。
catInsecureIndexing	Web サイトのデータ機密性に対する脅威。本来は公的にアクセスできないファイルにアクセスできるプロセスを介して Web サイトのコンテンツを索引付けすると、そのようなファイルの存在およびそれらの内容について情報が漏えいする恐れがあります。索引付けのプロセスでは、そのような情報が索引付けのプロセスにより収集されて保管されます。この情報は後から、通常は検索エンジンへの一連の照会により、強い意志を持った攻撃者が取得する可能性があります。
catInsufficientAntiAutomation	手動でのみ実行すべきプロセスを、攻撃者が自動化できるような状態になっている Web サイト。
catInsufficientAuthentication	適切な認証なしに重要なコンテンツまたは機能に攻撃者がアクセスすることを Web サイトが許可している場合。
catInsufficientAuthorization	追加のアクセス制御による制限を必要とすべき、重要なコンテンツまたは機能へのアクセスを Web サイトが許可している状態。
catWeakPasswordRecoveryValidation	Web サイトで別のユーザーのパスワードを攻撃者が不正に取得、変更、またはリカバリーできる場合。
catInsufficientProcessValidation	アプリケーションの本来のフロー制御を攻撃者が迂回または回避できる状態になっている Web サイト。
catInsufficientSessionExpiration	許可用の古いセッション証明書またはセッション ID を攻撃者が再使用できる状態になっている Web サイト。
catInsufficientTransLayerProtection	信頼できないサード・パーティーに通信がさらされるのを許します。
catIntegerOverflow	乗算や加算などの算術演算の結果が、保管に使用される整数型の最大サイズを超えている場合に生じる状態。
catLDAPInjection	ユーザー入力から LDAP ステートメントを構成する Web サイトを不正に利用するための攻撃技法。
catMailCommandInjection	適切にサニタイズされていないユーザーの入力から IMAP/SMTP ステートメントを組み立てる、メール・サーバーおよび Web メール・アプリケーションを悪用するために使用される攻撃手法。
catMaliciousContent	アプリケーションには、悪意があると思われるコードが含まれます。
catNullByteInjection	URL エンコードされたヌル・バイト文字をユーザー・データに追加することで、Web インフラストラクチャー内の正常性チェック・フィルターを迂回するために使用されるアクティブな悪用技法。
catOSCommanding	アプリケーションの入力を操作することでオペレーティング・システムのコマンドを実行する攻撃手法で、Web サイトを悪用するために使用。
catPathTraversal	Web ドキュメントのルート・ディレクトリー以外に存在する可能性のあるファイル、ディレクトリー、コマンドに強制的にアクセスする手法です。
catPredictableResourceLocation	高度な推測によって、Web サイトの隠されたコンテンツや機能を明らかにするために使用される攻撃手法。
catRemoteFileInclusion	Web アプリケーションの「動的ファイルのインクルード」メカニズムを悪用するために使用される攻撃手法で、アプリケーションをだまして悪質なコードを含むリモート・ファイルを組み込ませます。
catRoutingDetour	「中間者」攻撃の 1 タイプで、中間者を注入または「ハイジャック」して、機密メッセージを外部ロケーションにルーティングすることを可能にします。
catServerMisconfiguration	Web サーバーおよびアプリケーション・サーバーで見つかる構成の弱点を悪用します。
catServerSideRequestForgery	後で URI と結合された要素を含むユーザー入力の処理、サニタイズ、または検証が正しくありません。
catSessionFixation	ユーザーのセッション ID を強制的に明示的な値にする攻撃手法。ユーザーのセッション ID が固定された後、攻撃者はユーザーのログインを待ちます。ユーザーがログインすると、攻撃者は事前定義されたセッション ID の値を使ってユーザーのオンライン・アイデンティティーを装います。
catSOAPArrayAbuse	配列を予期している Web サービスは、XML DoS 攻撃のターゲットとなる可能性があります。これは、SOAP サーバーにマシンのメモリー内に大量の配列を作成するよう強制し、メモリーの事前割り振りのためにマシン上の DoS 状態に負担をかけることによって実行されます。
catSQLInjection	ユーザー入力から SQL ステートメントを組み立てる、Web サイトを不正に利用するための攻撃手法。
catSSIInjection	攻撃者が Web アプリケーションにコードを送信できるようにするサーバー・サイドの攻撃手法。その後、Web サーバーがそのコードをローカルで実行。
catURLRedirectoryAbuse	URL リダイレクターは、着信要求を代替リソースに転送するために Web サイトによって使用される一般的な機能であり、フィッシング攻撃で使用される場合があります。
catUserDefined	ユーザーによって作成されたテスト。
catXMLAttributeBlowup	XML パーサーに対するサービス妨害攻撃。
catXMLEntityExpansion	これは、文書の至るところで使用できる、エンティティーと呼ばれるカスタム・マクロを作成できるようにする XML DTD での機能を悪用します。攻撃者は、文書の上部にある一連のカスタム・エンティティーを再帰的に定義することにより、エンティティーの完全な解決を試行するパーサーに対し、再帰的な定義でほぼ無限に試行を繰り返すように強制して負担をかけます。
catXMLExternalEntities	この手法は、処理時に文書を動的にビルドする XML の機能を悪用します。XML メッセージは、データを明示的に提供するか、データが存在する URI を指すことでデータを提供することができます。この攻撃手法では、外部エンティティーがエンティティー値を悪質なデータや代替参照で置換したり、サーバーや XML アプリケーションがアクセス権を持つデータのセキュリティーを危険にさらしたりします。
catXMLInjection	XML アプリケーションまたは XML サービスのロジックを操作または危険にさらすために使用される攻撃手法。意図していない XML コンテンツ、XML 構造、またはその両方を XML メッセージに注入することで、アプリケーションの意図されたロジックを変更できます。さらに、XML インジェクションにより、悪質なコンテンツを結果のメッセージや文書に挿入することができます。
catXPathInjection	ユーザー入力から XPath 照会を構成する Web サイトを不正に利用するための攻撃技法。
catXQueryInjection	XQuery インジェクションは、XML XQuery 言語に対する従来の SQL インジェクション攻撃のバリアントです。XQuery インジェクションは、不適切に検証されたデータを使用し、それが XQuery コマンドに渡されるようにします。

catAbuseOfFunctionality

Web サイトそのものの機構や機能を使って、アクセス制御メカニズムを消費、籠絡、または迂回する攻撃手法。

catApplicationMisconfiguration

以下の攻撃は、Web アプリケーションに見つかる構成の弱点を悪用します。

catPrivacy

重要情報がクリア・テキストでディスクに保存されています。

catQuality

セキュリティー・メカニズムの構成ミスまたは欠陥は、悲惨な結果をもたらす可能性があります。

catBruteForce

個人のユーザー名、パスワード、クレジット・カード番号、暗号鍵の推測に使用する、トライアル・アンド・エラーの自動プロセス。

catBufferOverflow

割り当てられたバッファー・サイズを超えるデータでメモリーの一部を上書きすることで、アプリケーションの流れを変更する攻撃。

catContentSpoofing

Web サイトに表示されているコンテンツが外部ソースに由来するものではない正当なコンテンツであるとユーザーに信じ込ませる攻撃技法。

catCredentialSessionPrediction

特定のセッションまたはユーザーを識別する固有な値を推定または推測することで、Web サイトのユーザーのコントロールを奪う、またはそのユーザーになりすますメソッド。

catCrossSiteRequestForgery

被害者としてアクションを実行するために、被害者に対して、被害者の認識や意図なしに HTTP 要求をターゲット宛先に送信するように強制する攻撃。

catCrossSiteScripting

攻撃者が組み込んだ実行可能コードを Web サイトで強制的にエコー出力させ、ユーザーのブラウザーにロードさせる攻撃手法。

catDenialOfService

Web サイトの通常のユーザー処理の実行を妨害することを意図した攻撃手法。

catDirectoryIndexing

自動ディレクトリー・リスト作成/索引作成は Web サーバーの機能で、通常の基本ファイル (index.html/home.html/default.htm) が存在しない場合に、要求したディレクトリー内のすべてのファイルをリストします。ソフトウェアに脆弱性がある状態で特定の Web 要求を実行すると、意図しないディレクトリー・リスト作成が可能になることがあります。

catFingerprinting

攻撃者の最も一般的な方法は、ターゲットの Web プレゼンスにまずフットプリントを付け、できるだけ多くの情報を列挙することです。攻撃者はこの情報を使用して、正確な攻撃シナリオを作成できます。このシナリオでは、ターゲット・ホストによって使用されているソフトウェアのタイプ/バージョンにおける脆弱性を効果的に悪用します。

catFormatStringAttack

ストリング書式制御ライブラリー機能を使って他のメモリー・スペースにアクセスすることで、アプリケーションの流れを変更する攻撃。

catHTTPRequestSmuggling

2 つの HTTP デバイス間の RFC に準拠していない HTTP 要求の構文解析における矛盾を悪用する攻撃手法で、最初のデバイスを通じて 2 番目のデバイスに要求をスマグリングします。

catHTTPRequestSplitting

HTTP リクエスト分割は、ブラウザーに任意の HTTP 要求を送信するよう強制することができる攻撃で、XSS に負担をかけ、ブラウザーのキャッシュを汚染します。

catHTTPResponseSmuggling

サーバーから単一の応答を予期 (または許可) している中間 HTTP デバイスを通じて、サーバーからクライアントに 2 つの HTTP 応答を「スマグリング」(密輸) する手法です。

catHTTPResponseSplitting

HTTP レスポンス分割の基本は、攻撃者が Web サーバーに出力ストリームを形成させる単一の HTTP 要求を送信し、ターゲットにその出力を 1 つの HTTP 応答ではなく、2 つの HTTP 応答として解釈させることができるということです。

catImproperFilesystemPermissions

Web アプリケーションの機密性、保全性、および可用性への脅威。この問題は、誤ったファイル・システム許可がファイル、フォルダー、およびシンボリック・リンクに対して設定されている場合に生じます。

catImproperInputHandling

今日、アプリケーション全般で特定される最も一般的な弱点の 1 つです。不適切に処理された入力は、システムおよびアプリケーションに存在する重大な脆弱性の背後にある主な原因です。

catImproperOutputHandling

アプリケーションに不適切な出力処理があると、出力データが取り込まれて、脆弱性やアプリケーション開発者が意図しないアクションを引き起す原因となる場合があります。

catInformationLeakage

アプリケーションが機密データ (Web アプリケーション、環境、およびユーザー固有のデータの技術的詳細など) を漏えいするアプリケーションの弱点。

catInsecureIndexing

Web サイトのデータ機密性に対する脅威。本来は公的にアクセスできないファイルにアクセスできるプロセスを介して Web サイトのコンテンツを索引付けすると、そのようなファイルの存在およびそれらの内容について情報が漏えいする恐れがあります。索引付けのプロセスでは、そのような情報が索引付けのプロセスにより収集されて保管されます。この情報は後から、通常は検索エンジンへの一連の照会により、強い意志を持った攻撃者が取得する可能性があります。

catInsufficientAntiAutomation

手動でのみ実行すべきプロセスを、攻撃者が自動化できるような状態になっている Web サイト。

catInsufficientAuthentication

適切な認証なしに重要なコンテンツまたは機能に攻撃者がアクセスすることを Web サイトが許可している場合。

catInsufficientAuthorization

追加のアクセス制御による制限を必要とすべき、重要なコンテンツまたは機能へのアクセスを Web サイトが許可している状態。

catWeakPasswordRecoveryValidation

Web サイトで別のユーザーのパスワードを攻撃者が不正に取得、変更、またはリカバリーできる場合。

catInsufficientProcessValidation

アプリケーションの本来のフロー制御を攻撃者が迂回または回避できる状態になっている Web サイト。

catInsufficientSessionExpiration

許可用の古いセッション証明書またはセッション ID を攻撃者が再使用できる状態になっている Web サイト。

catInsufficientTransLayerProtection

信頼できないサード・パーティーに通信がさらされるのを許します。

catIntegerOverflow

乗算や加算などの算術演算の結果が、保管に使用される整数型の最大サイズを超えている場合に生じる状態。

catLDAPInjection

ユーザー入力から LDAP ステートメントを構成する Web サイトを不正に利用するための攻撃技法。

catMailCommandInjection

適切にサニタイズされていないユーザーの入力から IMAP/SMTP ステートメントを組み立てる、メール・サーバーおよび Web メール・アプリケーションを悪用するために使用される攻撃手法。

catMaliciousContent

アプリケーションには、悪意があると思われるコードが含まれます。

catNullByteInjection

URL エンコードされたヌル・バイト文字をユーザー・データに追加することで、Web インフラストラクチャー内の正常性チェック・フィルターを迂回するために使用されるアクティブな悪用技法。

catOSCommanding

アプリケーションの入力を操作することでオペレーティング・システムのコマンドを実行する攻撃手法で、Web サイトを悪用するために使用。

catPathTraversal

Web ドキュメントのルート・ディレクトリー以外に存在する可能性のあるファイル、ディレクトリー、コマンドに強制的にアクセスする手法です。

catPredictableResourceLocation

高度な推測によって、Web サイトの隠されたコンテンツや機能を明らかにするために使用される攻撃手法。

catRemoteFileInclusion

Web アプリケーションの「動的ファイルのインクルード」メカニズムを悪用するために使用される攻撃手法で、アプリケーションをだまして悪質なコードを含むリモート・ファイルを組み込ませます。

catRoutingDetour

「中間者」攻撃の 1 タイプで、中間者を注入または「ハイジャック」して、機密メッセージを外部ロケーションにルーティングすることを可能にします。

catServerMisconfiguration

Web サーバーおよびアプリケーション・サーバーで見つかる構成の弱点を悪用します。

catServerSideRequestForgery

後で URI と結合された要素を含むユーザー入力の処理、サニタイズ、または検証が正しくありません。

catSessionFixation

ユーザーのセッション ID を強制的に明示的な値にする攻撃手法。ユーザーのセッション ID が固定された後、攻撃者はユーザーのログインを待ちます。ユーザーがログインすると、攻撃者は事前定義されたセッション ID の値を使ってユーザーのオンライン・アイデンティティーを装います。

catSOAPArrayAbuse

配列を予期している Web サービスは、XML DoS 攻撃のターゲットとなる可能性があります。これは、SOAP サーバーにマシンのメモリー内に大量の配列を作成するよう強制し、メモリーの事前割り振りのためにマシン上の DoS 状態に負担をかけることによって実行されます。

catSQLInjection

ユーザー入力から SQL ステートメントを組み立てる、Web サイトを不正に利用するための攻撃手法。

catSSIInjection

攻撃者が Web アプリケーションにコードを送信できるようにするサーバー・サイドの攻撃手法。その後、Web サーバーがそのコードをローカルで実行。

catURLRedirectoryAbuse

URL リダイレクターは、着信要求を代替リソースに転送するために Web サイトによって使用される一般的な機能であり、フィッシング攻撃で使用される場合があります。

catUserDefined

ユーザーによって作成されたテスト。

catXMLAttributeBlowup

XML パーサーに対するサービス妨害攻撃。

catXMLEntityExpansion

これは、文書の至るところで使用できる、エンティティーと呼ばれるカスタム・マクロを作成できるようにする XML DTD での機能を悪用します。攻撃者は、文書の上部にある一連のカスタム・エンティティーを再帰的に定義することにより、エンティティーの完全な解決を試行するパーサーに対し、再帰的な定義でほぼ無限に試行を繰り返すように強制して負担をかけます。

catXMLExternalEntities

この手法は、処理時に文書を動的にビルドする XML の機能を悪用します。XML メッセージは、データを明示的に提供するか、データが存在する URI を指すことでデータを提供することができます。この攻撃手法では、外部エンティティーがエンティティー値を悪質なデータや代替参照で置換したり、サーバーや XML アプリケーションがアクセス権を持つデータのセキュリティーを危険にさらしたりします。

catXMLInjection

XML アプリケーションまたは XML サービスのロジックを操作または危険にさらすために使用される攻撃手法。意図していない XML コンテンツ、XML 構造、またはその両方を XML メッセージに注入することで、アプリケーションの意図されたロジックを変更できます。さらに、XML インジェクションにより、悪質なコンテンツを結果のメッセージや文書に挿入することができます。

catXPathInjection

ユーザー入力から XPath 照会を構成する Web サイトを不正に利用するための攻撃技法。

catXQueryInjection

XQuery インジェクションは、XML XQuery 言語に対する従来の SQL インジェクション攻撃のバリアントです。XQuery インジェクションは、不適切に検証されたデータを使用し、それが XQuery コマンドに渡されるようにします。