Howdy! How can we help you?
EFF自己防衛マニュアル用語集
アドオン
アドオンはソフトウェアの一種で、他のソフトウェアの動作を変えたり、機能を追加させるために使います。ウェブブラウザやメールソフトへプライバシー機能やセキュリティ機能を追加するときにもよく用いられます。しかしアドオンの一部にはマルウェアも発見されているので、信頼できる発信元のアドオンを “公式” のサイトからインストールするのが安全です。
暗号化
情報や通信文を規則に従って置きかえを施し、一見でたらめですが “暗号鍵” を知っている人や装置によって完全にもとの情報を復元できる状態にする手法、または、置きかえを施す処理のことです。
正当な 鍵 を使わずにはもとの情報を復元することはほとんど不可能で、暗号化は 秘匿技術の手段のひとつです。
暗号鍵
暗号化で一見でたらめにする置きかえ処理に必要な情報のかたまりで、文字や数字の組合せで表現されます。復号用に暗号化処理と同じ暗号鍵を使うタイプの暗号と、それぞれに別の鍵を使うタイプの暗号とがあります。
暗号化処理
情報や通信文を規則に従って置きかえる処理のこと、 “暗号化する” “暗号化” と略されることもあります。元の情報を復元する処理を “復号(する)” といいます。
アンチウイルス/ウイルス対策ソフト
悪意のあるソフトウェア(マルウェアともいいます)による乗っ取りからパソコンやスマホなどの機器を守るソフトウェアがアンチウイルスです。昔、コンピュータが徐々に増えていった時代には、あるコンピュータから別のコンピュータへマルウェアが広がっていく様子から連想してウイルスと呼ばれ、マルウェアの多くがこの型式でした。近年ではほとんどのアンチウイルスソフトが、ダウンロード中のファイルに不審な内容を見つけたときに、またコンピュータの中を調べてそのようなファイルが保存されていたときに、警告を出すようになっています。
アンチウイルスは、開発元がすでに発見・解析の終わったマルウェアだけを警告します。そのため、開発元には届かないようなマルウェア、つまり特定の個人やグループを標的としたマルウェアへの防御はとても弱いものになり、標的が広範囲なマルウェアへ対するほどの効果が期待できません。さらに、アンチウイルス自体を攻撃したり、アンチウイルスから発見されないように隠れる能力をもつマルウェアも出現しています。
アン・デリート(ソフトウェア)
たいていのデバイスで情報を削除するには、アイコンをゴミ箱へドラッグしたり、ゴミ箱ボタンを押したりします。しかし、その操作ですぐには情報が削除されません。アンデリート・プログラムを使うと、そのデバイスの所有者や、所有者でなくてもそのデバイスの操れるだれでもが、完全には削除されずに残っている情報を復元できます。アンデリートは本来、所有者が間違って削除してしまったファイルを戻したり、写真家が強制されて削除したファイルを復元したりするためのものです。しかしプライバシー保護のために所有者が完全削除しようとしたデータが復元されてしまえば、そのことが脅威となります。
ウェア・レベリング
USBドライブやSSDの内部で使われているフラッシュメモリなどの記憶媒体は、書き替えを繰り返すごとに記憶セルの能力が低下する性質があります。実際にセルが磨り減るのではありませんが、類似性から摩耗(ウェア)と呼び慣わしています。一部のセルに書き替えが集中して早く摩耗してしまうことがないように、メディア全体でなるべく摩耗を均等にする工夫がウェア・レベリングです。この工夫はファイルを完全消去しようとするときに問題になります。完全消去プログラムではファイルを削除する前に内容をランダムなデータで上書きし、元の内容が読み出されないようにするのですが、ウェア・レベリングされていると上書きがうまくできません。SSDやUSBドライブのファイルをプログラムで完全消去しようとするより、ドライブ全体を暗号化する方が確実です。ドライブ全体が暗号化されていれば、残っているファイルも正しいパスフレーズがない限りは読み出せないため、完全消去プログラムに頼る必要がなくなります。
ウェブ・プロキシ
ユーザーからのアクセスを別のウェブサイトへ取り次ぐ働きをするウェブサイトです。ユーザーが別のウェブサイトに直接つなごうとすると遮断されたり検閲(妨害)されたりする場合、ウェブ・プロキシを通すことでアクセスできる可能性があります。ウェブプロキシのページにユーザーが目的のウェブアドレス(URL)を入力すると、プロキシのページがそのアドレスのページに変わります。ウェブ・プロキシは検閲(妨害)回避手段の中でも割合に操作が容易です。
エアギャップ
コンピュータをネットワークから完全に切り離すことを “エアギャップする” などと表現します。(空気が入った隙間という意味です。)
エンド・ツー・エンド暗号化
発信者が暗号化した情報がそのまま受信者に届き、受信者だけが復号するように設計された通信手段のこと。このガイドの別の項目でもっと詳しく説明しています。エンド・ツー・エンドではない暗号化もよく使われます。、そこでは発信者・受信者のいずれでもない第三者が通信経路の途中で暗号化を行うため、その第三者を信頼して元の情報を託すことになります。エンド・ツー・エンドの暗号化は通信経路の途中で暗号を弱めたり解読したりする可能性のある介在者が少ないので、安全性が高いと考えられます。
オープン・ソース・ソフトウェア
フリーソフトウェアとも呼ばれるもので、だれもが自由に変更したり作り直したりできるような形式で配布されます。フリーとオープンソースをつなげてFLOSSということもあります。ここではフリーといっても無料には限定されず、寄付が勧められたり、有料サポート契約ができるものもあります。フリーでオープンソースのソフトウェアの例には、Linux、Firefox、や Tor などがあります。
オフレコ
インスタント・メッセージは暗号化せずに送られることがほとんどです。このオフレコ機能は使い慣れたフェースブックのチャットや、グーグルチャット、グーグル・ハングアウトといったアプリでのインスタント・メッセージに暗号機能を追加することで、監視に対する抵抗力を高めます。
オペレーティング・システム
コンピュータやスマホなどのデバイスで他のソフトウェアが動作することを助けるためのソフトウェアのこと。Windows、Linux、Android、アップルの OS Xと iOSがオペレーティングシステムの例です。
鍵
暗号化処理に必要な短い情報で、これを使って元の情報を暗号化したり、復号したりします。
鍵確認
公開鍵暗号では正しい受信者に情報を届けるために、その受信者の公開鍵を使って暗号化する必要があります。しかし、もしアタッカーが自分の公開鍵をBさんの公開鍵であると偽ってあなたに渡したらどうでしょう。あなたが偽の公開鍵で暗号化したBさん宛の情報はアタッカーが復号できてしまいます。(しかもBさんは復号できません。)あなたは暗号送信する前に、その公開鍵が本当に正しい受信者のものであることを確認するのがよいのです。そのような確認をする方法を鍵確認とよびます。
鍵サーバー
PGPのような公開鍵暗号を使っている相手に秘匿(暗号)メールを送るときには、相手が使っている暗号鍵を知る必要があります。鍵サーバーは暗号鍵の電話帳のようなもので、相手の名前かメールアドレス、あるいは公開鍵のフィンガープリントから公開鍵を見つけてくれます。インターネットにはPGP公開鍵サーバーがたくさん設置されていますが、ほとんどの場合公開鍵のコピーが互いに共有されています。しかし、公開鍵サーバーはそこで公開している鍵が真正か偽物であるかを確認できません。だれでも自由な名前で公開鍵をサーバーに登録できるため、特定の名前やメールアドレスで見つけた公開鍵が偽物である可能性があるのです。鍵が本物であるかを、鍵の署名によって確かめるか、あるいは何かの確実な手段でフィンガープリントを確かめるのがよいのです。
ここで紹介する鍵署名はPGPの特徴のひとつです。Aさんの公開鍵が確かにAさんのものである、という宣言をあなた自身の鍵を使って署名することができるのです。あなたはAさんを個人的に知っていて、Aさんの公開鍵が確かにAさんのものであると直接確認できたなら、あなたの署名があることで、あなたの公開鍵を信頼している人はAさんの公開鍵も信用してよいことになるのです。
あなたがBさんの公開鍵を鍵サーバーからダウンロードしたとき、Bさんの鍵に誰かの署名がついていれば、その誰かの中にあなたが知っている人が含まれていれば、ダウンロードしたBさんの公開鍵の信用度は一段高くなります。このように誰かを通して鍵を信用していく手法は「信頼の輪」と呼ばれています。信頼の輪は草の根的に動作するので、特定の会社や政府機関を頼るのでなく、人びとのコミュニティを信頼して、新しい知り合いに秘匿メールを安心して送ることができるのです。ただし、信頼の輪には大事な欠点もあります。他人の公開鍵に署名することによって、あなたの知人の範囲が世界に公表されてしまうのです。公開鍵の署名が「あなたがその人を知っている」という証拠になるわけです。他にも欠点として、信頼の輪を築いていくために手間も時間もかかること、何か理由があって信頼の輪には参加できないコミュニティの存在も挙げられます。
鍵署名パーティー
公開鍵暗号で相手に情報を送るときに、受信者の、本物の、正しい公開鍵を使うことが重要です。(鍵確認の説明もご覧ください。)PGP という一連のソフトウェアには、この “本物” の確認を助けてくれる機能があります。たとえば、AさんがBさんの公開鍵に「この鍵がBさんのものであることを確認しました」という記録を残せるのです。あなたがAさんからAさんの公開鍵を直接受け取っていれば、それが本物であることがわかりますから、Aさんが確認したBさんの公開鍵も(Aさんを仲立ちとして)本物であると信じてよいでしょう。見方を変えれば、Bさんの鍵を持った人は世界のだれであっても、Aさんの宣言を確認できるというわけです。この機能を活かすために、PGPのユーザーが互いに公開鍵を確認する機会として鍵署名パーティーを開いています。あなたの友人を別の友人に紹介するようなイメージを想像いただければよいでしょう。
鍵ペア
公開鍵暗号を使って、暗号化されたメールを受信するために、あるいは相手にあなたが作成したメールであることを証明するために、一対で暗号鍵を作る必要があります。この対を鍵ペアといいます。片方は秘密鍵で、あなただけが保管しておくものです。もう一方は公開鍵で、誰もが見られるようにしておくものです。秘密鍵と公開鍵とは数学的計算を通して互いに関連しています。
キーリング
公開鍵暗号を使うときは、いろいろな暗号鍵を適切に選んで使う必要があります。あなたの秘密鍵、あなたの公開鍵、暗号化メールの送り先ごとの公開鍵、などがあります。このような鍵をまとめてキーリング(鍵束)と呼んだりします。
キーロガー
キーロガーはあなたのデバイスに取り付けたハードウェア、あるいは組み込まれたソフトウェアで、あなたが入力しているユーザーIDやパスワードを盗み見するものです。(ここで “キー” はキーボードに並んでいる A い 3 などの文字のついた部分です。)ソフトウェアのキーロガーはユーザーを騙してインストールさせるマルウェアの形で組み込まれますが、ハードウェアのキーロガーはユーザーが気づかないようにデバイスやキーボードに接続されます。
脅威
コンピュータ・セキュリティの分野では、データを保全しようとする対策の効果を弱めようとする事象の可能性を脅威と呼びます。脅威はアタッカーによって意図的に計画される場合と、ログインしたままのコンピュータから一時的に離れるなどして、意図せずに発生する場合とがあります。
脅威モデル
あなたのデータを保護する対策を考えるうえで、各種の脅威の可能性や被害規模を想定するために脅威モデルが使われます。あらゆる詐欺や攻撃に対して対策を講じることは不可能なため、あなたのデータを狙っているのは誰か、そのデータで何をしようとしているのか、データをどんな手段で引き出そうとしているのか、などの具体的モデリングが望まれます。これが脅威モデルあるいはリスク・アセスメントと呼ばれるもので、モデルに対してデータ保護対策を計画していきます。
クッキー
クッキーは、あなたのブラウザを相手のウェブサイトから見分けられるようにするための、ウェブ技法のひとつです。クッキーが使われ始めたころはオンラインショッピングでカートに入れた商品をレジへ移動するまで覚えておいたり、ウェブサイトの表示を好みに合わせて設定したり、サイトの中でページを移動するたびにログインを繰り返さなくて済むようにする目的がありました。時代が進むとそれだけでなく、たとえアカウントがなくても、ログインしていなくても、あなたが見たページを記録したり、追跡したり、嗜好を探ったりするためにも使われるようになりました。
公開鍵暗号
普通の暗号システムでは、暗号化するときと復号するときに同一の暗号鍵という秘密を使います。この場合、もし暗号化する時の鍵が “bluetonicmonster” であったら、復号する時も同じ “bluetonicmonster” という鍵が必要です。ところが公開鍵暗号では、暗号化するときと復号するときとで異なる鍵を使うため、いろいろと便利なことがあります。便利のひとつは、暗号化の鍵を公開して誰に渡してもよいことです。あなたが復号用の鍵を秘密にしておけば、暗号化の鍵を持っている人はだれでもあなただけが復号できる暗号で情報を送ることができます。この暗号化の鍵は公開鍵と呼ばれ、公開鍵暗号の名前もここに由来します。公開鍵暗号はPGPによるメールやファイル送信、OTR(オフレコ)によるインスタント・メッセージ、ウェブページを表示する時などのSSL/TLSで使われています。
攻撃
コンピュータのセキュリティ分野で、セキュリティを破ろうとする行為を攻撃と呼びます。攻撃を行う人間あるいは組織がアタッカーです。攻撃をエクスプロイト(搾取)とよぶこともあります。
コマンド
コマンド、またはコマンド・ラインとは、コンピュータに動作を指示する方法の一つです。キーボードから入力する文字で動作を指示するように作られたプログラムをコマンド・ライン・ツールと呼びます。コマンド文字はたいてい、端末エミュレータと呼ばれるウィンドウに入力し、ツールの動作結果などは同じ端末ウィンドウにやはり文字で表示されます。Windows, Linux, Mac では現在も内部でコマンド・ライン・ツールが動作しており、一部のスマホでもアプリによってはコマンド・ライン・ツールとして動作します。オペレーティング・システム(OS)に組み込まれたプログラムを起動するためにコマンドが用いられることもあります。OSとは別にダウンロードするプログラム、特に専門家向けのものは、アイコンやボタンをクリックして操作するグラフィック・インタフェースよりもコマンドの方が好まれます。コマンドでは文字や数字をすべて間違いなく入力する必要があり、プログラムの動作が不満足なとき、原因を見つけにくい場合もあります。
C&C
C&Cは “指揮統制” の意味ですが、C&Cサーバーはマルウェアに感染したコンピュータへネットワークを通して指示を出したり、そのようなコンピュータから盗み出すデータの受入れ先となります。1台のC&Cサーバーが数百万におよぶコンピュータを操ることもあります。
資産/アセット
脅威モデルを考えるときに、守る対象となるデータやデバイスのことを資産、あるいはアセットと呼びます。
失効証明書
もし秘密鍵をなくしてしまったら、あるいは秘密鍵が誰かに知られてしまったら、どうしたらよいでしょうか。失効証明書を作っておけば、このようなときにあなたが自分の秘密鍵も公開鍵ももはや信頼しないことを宣言できるのです。失効証明書は公開鍵・秘密鍵と同時に作成するか、そのときに作っていなかったとしても秘密鍵が手元にあるなら作成できます。
SIMカード
小さなICチップで、スマホやタブレットに差し込んで、携帯通信事業者の基地局と通信できるようにするためのものです。SIMには電話番号リストやショートメールを保存できることもあります。なお、SIMは契約者識別モジュールという意味の頭文字です。
社内ネット
組織内部でのメールやウェブページ、ファイルサーバーやプリントサーバーなどが、会社内や組織内のネットワークだけを通して使えるようになっている状態をいいます。インターネットからはアクセスできません。
このように切り離されたネットワークは十分に安全であると考えられることが多いのですが、そのネットワークに悪意を持って接続が可能となるとデータの漏洩や改竄が行われてしまう。そのような接続方法のひとつに、従業員を騙してその人のパソコンにマルウェアをインストールさせる手口があります。
社内ネットに関連する技法にVPN(仮想閉域ネットワーク)があります。VPNを使えば社外にいる従業員もインターネットを通して、あたかも社内にいてネットを使っているようにローカル資源にアクセスできます。
商用VPN
商用VPNとは、ユーザーのインターネット通信を特定の通信事業者のネットワークを通して伝達するサービスです。VPNを使えば、地域ネットワークからあなたの通信は隠され、悪意のある者による盗聴や、信頼度の低いISP(プロバイダ)による監視を受けなくなります。外国のネットワークがホスティングしているVPNであれば、居住国の政府による監視や国家による検閲を回避することができます。しかし商用VPNではあなたのコンピュータから届いた暗号を復号してから相手へ送信するため、その経路で監視されないためにはVPN事業者(および、それが存在する国の政府)が信頼に値するものなければなりません。
ゼロ・デイ
その開発元も存在に気づいていないソフトウェアやハードウェアの不具合です。開発元が不具合に気づいて修正するまでの間は、その不具合をアタッカーが活用して攻撃が行われることがあります。
前方秘匿性
暗号通信システムの機能のひとつで、前方秘匿性であれば、ある文書に使ったいくつかの暗号鍵のうち一個が将来盗まれた場合でも、その文書は将来も復号できず、内容は保護されます。たとえば、送信者と受信者のそれぞれの暗号鍵から新しい暗号鍵を生成し、それを使って文書を暗号化して送ります。受信したら暗号鍵で復号したあと、その暗号鍵は破棄します。
HTTPSを採用しているウェブサイトでは、前方秘匿性が重要な課題です。スパイ機関やその他の敵対者がウェブサイトの通信をすべて記録している場合など、盗まれた鍵で記録の中から以前の通信を復号されてしまう恐れがあるからです。またインスタント・メッセージやチャット・システムではメッセージが確実に削除されるために前方秘匿性が必須です。この場合は通信ログ機能も止めておくか、過去のメッセージを完全に削除することも必要です。
帯域外
使っている通信手段とは別の手段で通信することです。例えば、安全でないかもしれない通信線を使っている相手が本人であることを確認するために、その通信線と違う性格の通信方法を使うことが考えられます。この場合、相手の公開鍵を直接会って確認してから暗号メールを送るといった手順になるでしょう。
中間者攻撃
暗号を破ろうとする攻撃の一種で、あなたから本来の受信者に向けて送られた情報を途中で横取りし、そのまま、あるいは変更を加えてから、本来の受信者へ向けて送信する手法です。これは中間者攻撃と呼ばれ、中間者の存在を送信者も受信者も気づかない場合があります。中間者は情報を盗み見たり、情報を改変して嘘を仕込む場合もあります。インターネットを通じて通信するソフトウェアは、このような中間者攻撃が送信者と受信者の間のどこでも起こり得ることを前提として攻撃から情報を守れるように設計されている必要があります。
あなたが友人のBさんと暗号化インスタント・メッセージで通信している場合を想像してみましょう。相手が本物のBさんであることを確かめるため、あなたは相手に「私たちが最初に会った都市はどこでしたか」と尋ねます。相手は「イスタンブールでした」と答えました。よかった、相手は本物らしい。ところが、あなたも相手も知らないうちにインスタント・メッセージをすべて受信している者がいました。Bさんとインスタント・メッセージしていたつもりでしたが、最初から中間者Cがその通信を横取りしており、Bさんとの通信はすべてCを通したものだったのです。Cはあなたの「最初に会った都市は」という質問を読み、そのままBさんにそれを流しました。Bさんは「イスタンブール」という回答を送りましたがCがそれを解読し、やはりそのままあなたに流したのでした。あなたはBさんと暗号通信していると思っていましたが、実はスパイのCと暗号通信しているのでした。Bさんもあなたとではなく、Cとの間で暗号通信しているのでした。これが中間者攻撃の一例です。
徴候
デバイスに何者かが侵入した形跡、または何者かに変更を加えられた形跡。
通称
オンラインのフォーラムなど、特定の用途であなたが決めた自分の呼び名のことです。フォーラムの参加者はその名前があなたのものだとがわかりますが、普段会っている人にはあなたとはわかりません。
使い捨てアドレス
一度だけ使って、再びは使わないメールアドレスのこと。インターネットのサービスにメールアドレスを使って新しく登録するとき、本名などと結びついているメールアドレスを使わずに済みます。
使い捨て携帯/バーナー・フォン
匿名で購入できるプリペイド携帯電話。一定の上限以内でのみ通話ができる、あるいはネットワークサービスを使用できるもので、監視されている疑いがある場合は廃棄することも可能です。匿名で購入するには現金を使う必要があります。(訳注:アメリカの一部の州など、購入できる国・地域は限定されています。)
データ
文書や写真など各種の情報をいいますが、特にデジタルで保存されるときにデータと呼びます。他に暗号鍵、プログラム(アプリ)、メール、その他のデジタル情報、ファイルなどもデータです。
ディスク暗号化
パソコンやスマホなどに保存されているデータの保護を計画するとき、いくつかの重要なファイルに限って暗号化するか、ディスク(ストレージ)全体を暗号化するかを選択できます。1個のディスク内容全体を暗号化するのが “ディスク暗号化” です。管理する手間や確実性を考えればいくつかのファイルを暗号化するよりディスク全体の暗号化がすぐれています。暗号化されていないディスクに暗号化ファイルを保存する場合に、暗号化前のファイルが自動的に一時保存される場合があります。このような自動保存はユーザーを煩わせることなく、気づかないうちに行われます。あなたがコンピュータを使った履歴が暗号化されずに残されることもあります。
アップルのOS Xや、Linux, 一部のWindowsではディスク暗号化機能がすでに組み込まれていますが、たいていはその機能が有効化されていません。
敵対者
あなた自身のセキュリティー目標の達成を邪魔しようとする人間または組織を敵対者といい、さまざまな特性があります。たとえば、犯罪グループのメンバーがネットカフェで通信を覗いている心配があるかもしれませんし、あなたの友人が学校の共用パソコンであなたの名前を使ってログインする心配があるかもしれません。想像上の敵対者を考えることもあります。
デジタル署名
ある情報の作成者を数学的手法によって確かめられるようにすること、さらに作成後に別人が改変していないことを確かめられるようにすること。デジタル署名はダウンロードしたアプリが、正当な作成者による正式のファイルであり、改変されていないことを確かめるためにも使われます。ダウンロードしたアプリをインストールするまえに署名を確認することができます。
暗号化されたメールが改変されていないことを確かめるためにも用いられます。
デジタル署名されていない場合、正しい発信元からの情報をアタッカーが改変したとしても、それを技術的に見破ることができません。
ドメイン名
ウェブサイトやその他のインターネットを用いたサービスのアドレスを示す単語や文字のこと。 ssd.eff.org がその例です。
トラフィック・ブロッカー(ブラウザの拡張機能)
ウェブサイトに接続するとき、あなたのブラウザから相手のウェブサーバーとサーバー所有者には、あなたのIPアドレスやコンピュータに関する情報、過去にそのウェブサーバーと接続したときに残されたクッキーなど情報が送信されます。接続先のウェブページに他のウェブサーバーに置かれたイラストなどが含まれる場合は、そのウェブサーバーから情報をダウンロードするときにあなたのIPアドレスやクッキーなどが同様にそこへ送信されます。ネットワーク広告サイトや、アクセス解析サイト、その他のデータ収集サイトは、このような方法であなたの個人情報を収集しています。
ブラウザに拡張機能ソフトをインストールすると、データ収集サイトなどの第三者へ送る情報を制限させることができます。このような拡張機能として、広告ブロッカーが広く使われています。EFFではプライバシー・バッジャーというトラフィック・ブロッカーを拡張機能として公開しています。
トランスポート暗号化
ネットワークを通るデータを暗号化する機能です。あなたが座っている喫茶店で同じWiFiを使っている人もプロバイダも、暗号化されたあなたの通信内容は解読できません。
2要素認証
「あなたが知っている何か、と、もうひとつ」でユーザー認証する方式です。ユーザーIDとパスワードだけでログインできるようなシステムは、だれかがそれを盗んだり、あるいはそれを想像できたりすることを考えると脆弱なものです。2要素認証はパスワードの他にもうひとつの何かを調べて、あなたが本当にあなたであることを確認しようとします。もうひとつの何かには、例えば1度だけ使用される確認番号であなた宛にメールやショートメールで別途送信されたり、あるいはスマホやUSB接続される専用機器で自動生成する確認番号があります。銀行や、Google、ペイパル、ツイッター(X)といった大手のインターネット・サービスは2要素認証を使用しています。
能力
アタッカー(攻撃者)が”攻撃”を実行する能力をいいます。例えば「国家の保安機関は電話を盗聴する能力がある」、あるいは「隣人はその家の窓から外にいるあなたを見る能力がある」といえます。アタッカーにその能力があっても必ずそれを働かせているとは限りませんが、可能性として認識し、対応しておく必要があります。
パスフレーズ
パスワードの一種と考えてよいでしょう。パスワードというと「ワード」が1語を連想しますが、これでは短すぎるので、もっと長い方がより安全だとの意味が込められています。xkcd のマンガもご覧ください。
パスワード
秘密の合言葉で、覚えておくか、隠しておくもの。パスワードを知っている人だけがログインできたり、データを読み出したり、デバイスを使えますが、知らない人はそのようなことはできないことが期待されます。長い、何ワードにも及ぶパスワードは「パスフレーズ」と呼ばれることもあります。パスワード・マネージャーやパスワード保管ファイルを開くためのパスワードは、特にマスター・パスワードとも呼ばれます。
パスワード・マネージャー
いろいろなサイトやソフトウェアに設定したパスワードを暗号化して覚えておくための専用ソフトウェア・ツールのこと。他のパスワードを読み出すためマスター・パスワードが必要で、それだけは記憶させずにユーザーが覚えておく必要があります。
パッシブ敵対者
あなたの通信内容を傍受するだけで、内容を改変しない敵対者のこと。
秘匿技術
“暗号技術”とも呼ばれ、特定の相手にだけ内容がわかるように、文書などのデータを加工しておく技法です。加工されたデータはそれ以外の他人が見ても内容を理解できません。
秘密の質問
パスワードによるユーザー確認に加えて、秘密の質問が使われることがあります。秘密の質問の答えはあなただけが知っているという前提です。この前提が成り立たずに質問の答えが想像されたり、発見されたりすることもあるので、パスワードが2段階になっている程度の安全度しか期待できません。パスワードのひとつであると考えて、長くて、一般的でない、ランダムな言葉で秘密の質問の答えを作り、どこか安全なところに保管しておくのがお勧めです。もし銀行が「あなたの母親の旧姓は」という質問を使うとき、本物の旧姓ではなくて “CorrectBatteryHorseStaple” とような、よいパスワードを代わりに使いましょう。
ファイアー・ウォール
コンピュータを別のコンピュータとの望ましくない通信から保護するためのソフトウェア。別のコンピュータはローカルネットに接続されている場合も、インターネットに接続されている場合もあります。ファイアー・ウォールには、特定のメールの送信が禁止されたり、特定のウェブサイトの閲覧が禁止される規則が設定されることもあります。ファイアー・ウォールはコンピュータを外部からの有害な通信に対する第1の防御機能としても使われます。同時にコンピュータのユーザがインターネットを利用する方法を制限するために使われることもあります。ファイアー・ウォールは建物の防火壁をイメージした呼称です。
ファイルシステム
文書やメモ書きや写真などのデータをコンピュータの中やスマホの中に保存するとき、保存される “場所” を整頓する機能がファイルシステムです。
フィルタリング
インターネットでの通信を阻止したり検閲(妨害)したりすることの婉曲的表現。フィルタリングを回避してインターネット通信を行うためには、VPNやTorなどのサービスを使用します。
フィンガープリント(暗号鍵の)
ある人の公開鍵と別の人の公開鍵とを見分けるために使える、10桁から数十桁の数字と文字からできた “名前” です。通信相手の公開鍵のフィンガー・プリントをあなたのデバイスと相手のデバイスとで表示させて、簡単に比較できるようにするアプリもあります。このようなアプリを活用すれば中間者攻撃のために偽物の公開鍵が届いていた場合、それを発見できます。
フィンガープリント(ファイルの)
あるファイルのフィンガープリントは、そのファイルの内容を数学的規則に従って “代表” するような一連の文字や数字の列です。ファイルの内容をわずかでも変更するとまったく異なったフィンガープリントになるように設計されています。アプリや拡張機能といったソフトウェアをダウンロードしたときにフィンガープリントを確認すれば、そのファイルが本物で、しかも本来の作者が公表したあとダウンロードするまでの間で改竄されていないことを証明する強い根拠になります。
フィンガープリント(公開鍵の)
公開鍵暗号では長いときには数千桁以上の数字が暗号鍵として使われます。これに対して鍵のフィンガープリントは、もっと少ない桁数でも長い鍵の全体に代わって鍵の “名前” として利用できます。例えば、友人があなたの正しい暗号鍵を持っていることを確認したいとき、何百桁もの鍵全体を読み上げることなく、鍵のフィンガープリントだけを比べれば済みます。暗号プログラムで生成した暗号鍵は英文字と数字で40桁ぐらいのフィンガープリントが付けられるので、それだけを読み合わせればよいのです。フィンガープリントを注意深く照合することで、偽の暗号鍵を使ってしまう危険もほとんどなくなります。フィンガープリントの照合を簡単にできるソフトウェアもありますが、どのような方法であれ、通信途中で容易には盗み見・盗聴されないように照合することが大切です。
復号
暗号化されて無意味に見えるメールやデータなどを人間に理解できる状態に戻す作業。暗号化は意図した受信者だけが復号できることを目的とした処理です。
ブラウザ
インターネットを通してウェブサイトのページを表示させるためのソフトウェアで、Firefox, Safari, Internet Explorer, Chrome, Edge などが有名です。スマホやタブレットでも同じ目的のためにウェブ・ブラウザ・アプリが開発されています。
ブラウザのフィンガプリント
ウェブサイトにアクセスしたとき、あなたのコンピュータやブラウザに関して相手方に伝えられる各種の情報のこと。このような情報は他のコンピュータやブラウザとはわずかずつ異なっていて、ウェブサイトはあなたが「他とは違う」ことを感知できます。しかも、あなたがログインせず、クッキーを保存せず、別のネットワークを通してアクセスしたときも、「同じコンピュータとブラウザ」であることも相手は検知できます。
あるサイトにとってみれば、アクセスしてくる多数のユーザーのうちで、特定の種類のデバイスが特定の言語に設定されていて、ある画面サイズであって、特定のウェブ・ブラウザの特定のバージョンを使っているたったひとりのユーザーがあなたかもしれません。もしそうであれば、あなたがそのサイトを表示するたびに、サイトでは「他と違う、あの人である」ことが、たとえあなたが何も個人情報を送らなくても、わかってしまうのです。
プロトコル
通信分野ではコンピュータ間で、あるいはプログラムの間で情報を送るための取り決めをプロトコルと言います。同じプロトコルを使用するプログラム同士は情報の受け渡しが可能になり、httpプロトコルを使うウェブ・ブラウザとウェブ・サーバーがそのようなプログラムの例です。通信内容を暗号化するプロトコルもあり、http に対する https がそのような例のひとつです。インスタント・メッセージで使われるOTR(オフレコ)も、多様なプログラムが利用している暗号化通信プログラムのひとつです。
マスター・パスワード
保存してあるいくつものパスワードを読めるようにするためのパスワード、あるいはパスワード管理ソフトやメール管理ソフトを「開く」ためのパスワードのこと。マスターパスワードには簡単には想像できない、「強い」パスワードを設定しましょう。
マルウェア
悪意を持って作られたソフトウェアのこと。あなたが望まない動作をする目的であなたのデバイスに仕込まれます。コンピュータ・ウイルスもマルウェアの一種です。パスワードを盗んだり、あなたの行動を監視したり、データを壊したりするマルウェアもあります。
メタデータ
データに関するデータのこと。メールの本文はそれが目的のデータなので、メタデータではありませんが、送信者名、送信日時、宛先などはどれもメタデータです。「通信の秘密」に関する法律の執行では、データ自体の保護よりもメタデータの保護が弱められる場合があります。アメリカ合衆国では捜査機関が電話を盗聴するときに裁判所の令状が必要とされますが、通話記録の入手はずっと容易な手続きで済んでしまうのが現実です。しかし実際にはメタデータからも相当な情報を取り出せるため、通信の秘密の視点ではデータと同等の保護が必要なものです。
リスク評価
コンピュータ分野のリスク評価では、特定の攻撃が成功するであろう確率を計算します。この結果に基づいてどのような防止措置を実施するかを決めます。攻撃の形態は多様で、コンピュータが使えなくなる、データが読めなくなる、などの被害が予測されるのですが、一方で被害の程度がどれも同じとは言えません。リスク評価を行うことで、どのような攻撃を重視するべきか、予想される被害の大きさ、攻撃が発生する頻度、対応の困難度などを具体的に比較しやすくなります。脅威モデルの説明もお読みください。
ワンタイム・パスワード
パスワードは比較的長時間にわたって使うのが普通です。この場合、パスワードをいったん設定すると、意図して変更したりリセットするまでは同じパスワードが維持されます。これに対してワンタイム・パスワードは専用のソフトウェアツールを使って、互いに異なるパスワードを数多く生成し、それらの中で順にパスワードとして使っていきます。あなたのシステムでキーロガーが動作していることが疑われる場合にワンタイム・パスワードは有効な防御方法です。
DDoS
ウェブサイトやその他のインターネット・サービスを妨害する攻撃手法のひとつ。多数のコンピュータからタイミングを合わせてそのウェブサイトなどに大量のリクエストを送りつけたり、大量のダウンロード送信をさせて、ウェブサイトが処理しきれなくなる状態を狙うものです。DDoSに使われる多数のコンピュータはまとめて設置されたものではなく、世界にあるコンピュータのうち侵入やマルウェアに感染させるなどして裏口を設けたものを少数のアタッカーが遠隔制御し、攻撃の手段やタイミングを調整する手口が一般的です。
FTPプロトコル
手元のコンピュータとどこか遠くにあるコンピュータとの間でファイルをコピーするための、やや古い方法です。遠くのコンピュータをFTPサーバーと呼び、手元のコンピュータでFTPプログラムを動作させて通信します。近年ではそれぞれウェブサーバーとウェブブラウザに置き替わり、さらに Dropbox のようなファイル同期サービスも使えるようになっています。
HTTPS
ウェブページのアドレスをクリックするときなどに “http://www.example.com” という表示にご覧にになったことがあるでしょう。アドレスの頭にある HTTP はハイパー・テキスト・トランスファー・プロトコルとよばれる、ブラウザとウェブサーバーとの通信手順のことです。HTTP は暗号化されないままで情報をやりとりします。HTTPS は末尾にSが加わり(セキュアという意味です)、ブラウザとウェブサーバーとの通信を暗号化するので、途中で盗み見される心配がありません。
IMAP設定
手元のパソコンやスマホがメールを送受信するためにメールサーバーと通信するときの手順がIMAPです。パソコンやスマホのメール・プログラムでこのIMAP設定を変更すれば、複数のメールサーバーと通信したり、サーバーとの通信でのセキュリティの強度や暗号化の有無を選択できます。
IPアドレス
インターネットに接続して情報を送受信するためには、接続するデバイス自身のIPアドレスが必要です。郵便を受けとるため、相手に住所を教えておくのと似ています。IPとはインターネット・プロトコルに由来する名前です。あなたがウェブサーバーやメールサーバーなどに接続するとき、相手にはあなたのデバイスのIPアドレスが自動的に知らされています。しかしIPアドレスだけでは必ずしもあなたの名前などが相手に伝わるわけではありません。実際のところ、IPアドレスから住所やデバイスの所在場所を特定するのは比較的困難です。しかしIPアドレスから、おおまかな場所や、接続に使っているプロバイダ(ISP)の名前は判明します。Torでの接続ではIPアドレスを相手から隠すため、オンラインでのあなたの匿名性が高まります。
PGP
PGP (Pretty Good Privacy, けっこうイケるプライバシーという意味)は公開鍵暗号系を初めて実現したソフトウェア。フィル・ジンマーマンが1991年に開発し、運動家などの通信の保護に大きな功績があったものです。アメリカ国外にこのソフトウェアが公開されたことから、ジンマーマンは米国政府の “公式な” 捜査対象とされました。当時は強い暗号である公開鍵暗号系の機器は輸出禁止とされていたためです。PGPは現在も商用ソフトウェアとして販売されつづけています。PGPと同様の原理に基づくGnuPG (GPG) はフリーソフトウェアですが、どちらも互換性があるため、GPGのユーザーは “PGP鍵” や “PGPメール” と呼んだりしています。
SSD
ファイルなどを保存するためにコンピュータの内部では磁気ディスクが古くから使われていましたが、最近では機械部分がなく、衝撃に強い保存デバイスであるSSDがスマホを中心に多く使われるようになってきました。現在はSSDの価格が磁気ディスクよりも記憶容量あたりにすると高いのですが、データの読み出しは高速です。SSDでは記録してあるデータを完全に消去することは磁気ディスクよりも困難です。
(SSDは固体ディスクの意味の頭文字ですが、中にディスク(円盤)は入っていません。)
SSH
ネットワーク通信を使って、遠くにあるコンピュータへセキュア(安全)にコマンドを送る手法です。SSHプロトコルを使うとコマンドを送るだけでなく、2台のコンピュータの間の他の通信も暗号化できます。このようなSSHリンクを確立させるには、相手のコンピュータでSSHサーバープログラムを動作させ、あなたのコンピュータでもSSHクライアントプログラムを動作させておく必要があります。(相手のコンピュータでコマンドを受け取るプログラムがシェルと呼ばれ、shと略されます。sshは暗号機能を加えたセキュア・シェルとみなしてよいでしょう。)
SSL
あなたのコンピュータとウェブサーバーなどのインターネット・サービスとの間の通信を暗号化し、情報漏洩や改竄を防ぐための通信技法です。SSLを使ってウェブサイトと通信している時は、ブラウザのアドレス欄は左端がhttpsになっています。sのないhttpのときはSSLが使われていません。公式にはTLSと呼びますが、今でも古いSSLという名前が通用しています。(TLSはトランスポート・レイヤ・セキュリティの頭文字で、1999年から公式に使われています。)
SSL証明書
公開鍵が本物であることを確かめて、中間者攻撃を防ぐ方法のひとつ。ウェブサイトにあなたのコンピュータのブラウザが接続したとき、ウェブサイトとの通信がセキュア(安全)で、相手のウェブサイトは本物であり、途中で通信が改竄されていないことがSSL証明書を使って自動的に確認されます。
VoIP
インターネットを通して他のユーザーと電話のように音声通信する、または音声通信を受ける技法。
VPN
インターネットを通して、特定の組織のネットワークとセキュアな通信を確立する手法です。あなたからの送信データはパッケージにまとめられ、暗号化され、相手のネットワークへ送られます。そこで暗号を解き、パッケージを解き、そこから最終的な行き先コンピューターへ送信されます。相手先のネットワークにあるコンピュータにも、そこからつながっているインターネット上のどのコンピュータにも、あなたの通信は相手先のネットワーク内部から発生しているように見えます。
VPNは会社などの組織がファイルサーバーやプリンタといった社内用の資源を建物やキャンパスの外にいるユーザーからもセキュアに使う場合によく利用されます。国内や地域内のインターネット通信が検閲(妨害)や監視されているとき、回避する手段としても使われます。
XMPP
インスタント・メッセージを送受信するための、オープン標準で、Google Talkに使われています。Facebook でも使われていましたが、現在は使えません。非営利のインスタント・メッセージサービスではよく使われています。しかしWhatsAppなどでは自前の非公開プロトコルが使われています。
