HOME
EC-Council CEH (認定ホワイトハッカー)

「EC-Council CEH (認定ホワイトハッカー)」の記事一覧

WebSocket通信のハンドシェイク時にCSRF対策が行われていない場合、攻撃者のサイトを経由して被害者のブラウザからWebSocket接続を乗っ取る攻撃はどれか。

CSWSHは、WebSocketハンドシェイク時のOriginヘッダー検証不備などを突き、被害者の認証済みセッションで…

2026年3月8日

Google Cloud Platform (GCP) のメタデータサービスに対するSSRF攻撃を防ぐために導入されている、必須のHTTPヘッダーはどれか。

GCPでは、レガシーなSSRF攻撃を防ぐため、メタデータサーバーへのアクセスには「Metadata-Flavor: Google…

2026年3月8日

仮想化環境において、攻撃者がハイパーバイザー自体を乗っ取り、その上で動作するすべての仮想マシンを制御下に置く攻撃はどれか。

ハイパージャッキングは、OS起動前に悪意あるハイパーバイザー（ルートキット等）をロードし、システム全…

2026年3月8日

Dockerデーモンソケット（/var/run/docker.sock）をコンテナ内にマウントすることのセキュリティリスクは何か。

Dockerソケットへの書き込み権限があると、コンテナ内から新たな特権コンテナを作成するなどしてホストOS…

2026年3月8日

オンプレミスのActive DirectoryとクラウドIDを連携させる環境で、SAML署名証明書を盗み出し、任意のユーザーになりすます攻撃はどれか。

Golden SAML攻撃は、AD FSなどの署名鍵を盗用し、任意のSAMLトークンを偽造することで、MFAをも回避してク…

2026年3月8日

SaaS（Software as a Service）利用時において、クラウドプロバイダーではなく、利用者が主に責任を負う領域はどれか。

責任共有モデルにおいて、SaaSではアプリやOSはプロバイダーが管理するが、データの内容とユーザーアクセ…

2026年3月8日

管理されていない仮想マシンが無秩序に増殖し、パッチ適用やセキュリティ管理が行き届かなくなる現象を何と呼ぶか。

VMスプロール（仮想マシンの拡散）は、管理者の把握外でVMが作成・放置されることで、セキュリティリスク…

2026年3月8日

Dockerイメージのビルド時に含まれてしまった脆弱なライブラリやマルウェアを検知するために行うべき対策はどれか。

イメージスキャンは、レジストリへのプッシュ時やデプロイ前に、コンテナイメージ内の既知の脆弱性（CVE）…

2026年3月8日

Kubernetesクラスターにおいて、すべてのクラスターデータ（設定、シークレット等）を保存する分散キーバリューストアであり、厳重な保護が必要なコンポーネントはどれか。

etcdはKubernetesの「脳」にあたるデータベースであり、ここへのアクセス権があればクラスター全体を制御…

2026年3月8日

AWS S3バケットの設定ミスを探すために、辞書ベースでバケット名を推測し、公開状態かどうかを確認する行為はどれか。

バケット列挙は、一般的な単語や組織名を組み合わせてS3のURLにアクセスし、公開されているストレージバケ…

2026年3月8日