「Lv029」の記事一覧

Kerberos環境において、攻撃者が特権アカウントのパスワードハッシュを持っていなくても、サービスアカウントへのTGSリクエスト（SPNスキャン）を行い、その応答からオフラインでパスワードをクラックする攻撃はどれか。

サプライチェーンセキュリティにおいて、オープンソースパッケージのメンテナーアカウントが乗っ取られるのではなく、メンテナー自身が悪意を持って不正なコードを追加する脅威を指す用語はどれか。

セキュリティ評価基準「CC（Common Criteria）」において、評価対象（TOE）のセキュリティ要件だけでなく、開発環境や構成管理プロセスまで含めた包括的な保証を求めるのは、EALのどのレベル以上か。

攻撃シミュレーション（BAS: Breach and Attack Simulation）ツールと、伝統的なペネトレーションテストの主な違いはどれか。

エンタープライズネットワークにおいて、MACアドレスフィルタリングを突破する攻撃手法（MACスプーフィング）への最も効果的かつ根本的な対策はどれか。

WebAssembly System Interface (WASI) において、WasmモジュールがファイルシステムやネットワークなどのOS機能にアクセスする際、セキュリティを担保するために採用されている権限モデルはどれか。

デジタルフォレンジックにおいて、クラウド上の仮想マシン（VM）の証拠保全を行う際、物理マシンのように電源を切ってディスクを抜くことができないため、一般的に最初に行う保全措置は何か。

セキュリティポリシーモデルにおいて、情報の「集約（Aggregation）」によって、個々のデータは低機密でも、組み合わせることで高機密な情報が明らかになってしまう問題への対策は何か。

OAuth 2.0の「PAR (Pushed Authorization Requests)」仕様（RFC 9126）の主な目的は何か。

クラウドネイティブ環境のセキュリティにおいて、コンテナイメージの内容だけでなく、実行中のコンテナのシステムコールやファイルアクセスを学習し、異常な振る舞いをブロックする技術はどれか。