用語辞典
CVE・CVSS・RCE・SSRF・XSS・SPF/DKIM/DMARC。むずかしい用語を、一行の直答とやさしい解説で。
CSRF(クロスサイトリクエストフォージェリ)とは — ログイン中の利用者に“勝手に操作”させる攻撃
CSRFは、ログイン中の利用者のブラウザに“本人が意図しない操作”を勝手に送らせる攻撃。ブラウザがCookieを自動送信する性質を悪用する。本命の防御はCSRFトークン+SameSite Cookie。状態変更にGETを使わないことも重要。
SPF / DKIM / DMARC とは — 自分のドメインを“なりすましメール”から守る3点セット
SPF/DKIM/DMARCは、自ドメインのメールが本物かを受信側が検証するための3つのDNS設定。SPF=送信を許可するサーバー、DKIM=電子署名、DMARC=方針+レポート。3つ揃えると、あなたを騙るなりすまし・フィッシングを止められる。DMARCはp=noneから段階的に強める。
SQLインジェクション(SQLi)とは — 入力でデータベースの命令を書き換えられる穴
SQLiは、入力が“データ”でなく“命令の一部”として解釈され、DBへの問い合わせの意味が変わる脆弱性。読み出し・改ざん・全削除に直結。本命の防御は『文字列連結をやめ、プレースホルダ(プリペアドステートメント)で値を渡す』こと。
XSS(クロスサイトスクリプティング)とは — 他人のブラウザで勝手にコードが動く穴
XSSは、攻撃者の用意した文字列が“スクリプトとして”別の利用者のブラウザで実行される脆弱性。セッション窃取・なりすましに直結。本命の防御は『出力時のエスケープ』。フレームワークの自動エスケープを外さないことが最大の対策。
CVE とは — 脆弱性に付く“共通の背番号”のしくみ
CVEは脆弱性に付く世界共通の識別番号(例 CVE-2025-12345)。同じ穴を皆が同じ名前で参照でき、対策・監視の起点になる。CVE=名前、CVSS=深刻度、KEV=悪用中かで役割が違う。個人は機械監視で追うのが現実的。
CVSS とは — 脆弱性の“深刻度スコア”と、その採点基準
CVSSは脆弱性の深刻度を0.0〜10.0で表す共通スコア。点数は『攻撃元・複雑性・必要権限・利用者関与・影響範囲・CIA』という決められたメトリクスを計算式に通して算出される。基準を知れば10.0の意味も読める。ただし優先度はKEV(悪用中か)と自分が使っているかも併せて判断する。
「.env」とは — 環境変数ファイルが漏れると何が起きるか
.env はアプリの秘密値(DB認証・APIキー・暗号鍵)をまとめた設定ファイル。1ファイルに鍵が集まるため、公開されると全シークレットが一度に漏れる。アプリ本体はdocrootの外へ置き、gitにコミットせず、漏れたら全部ローテーションする。
RCE(リモートコード実行)とは — なぜ最悪クラスの脆弱性なのか
RCEは攻撃者がサーバー上で任意のコードを実行できてしまう脆弱性。情報漏洩にとどまらず乗っ取りに直結する最悪クラス。被害範囲は『そのプロセスの権限』で決まる。防御の要は迅速な更新・CVE監視・最小権限。
SSRF(サーバーサイドリクエストフォージェリ)とは
SSRFは、外部入力のURLを使ってサーバーに内部リソース(内部IPやクラウドメタデータ)を叩かせる攻撃。URLを取りに行く機能を作るなら、宛先の許可リスト・内部遮断・リダイレクト/DNS再解決の抜け道塞ぎが必須。Capital One事故の入口でもあった。