Q：2層コミットメント
A：分散データベースシステムにおいて，一連のトランザクション処理を行う複数サイトに更新処理が確定可能かを問い合わせ，すべてのサイトの更新処理が確定可能である場合，更新処理を確定する方式はどれか。
[参　平成22年度 秋期 応用情報技術者試験 午前 問30]

Q：メタデータ
A：データの定義情報（更新日、容量等）を記述した情報のこと。

Q：分散データベースシステムのデータディクショナリ/ディレクトリの配置方式に関するものは。
A：集中管理方式では，データディクショナリ/ディレクトリを保有するサイトの障害が，分散データベースシステムの重大な障害になる。
[参　平成26年度 秋期 応用情報技術者試験 午前 問28]

Q：表に対するSQLのGRANT文とは。
A：表の利用者に対し，表への問合せ，更新，追加，削除などの操作を許可する。
[参　平成26年度 秋期 応用情報技術者試験 午前 問25]

Q：クラッキング
A：コンピュータに不正侵入して、データの盗聴や破壊を行う攻撃全般を意味する。

Q：SPAM
A：無差別に送付される迷惑メールのこと。

Q：ソーシャルエンジニアリングに分類されるものは。
A：システム管理者などを装い，利用者に問い合わせてパスワードを取得する。
[参　平成22年度 秋期 応用情報技術者試験 午前 問39]

Q：マルウェア
A：コンピュータウィルスやスパイウェアなどの不正プログラムの総称のこと。

Q：ワーム
A：コンピュータシステムやネットワークに侵入し、増殖するウイルスのこと。

Q：ボット
A：ネットワークを介して、外部からコンピュータを操ることソフトウェアのこと。

Q：ボットネット
A：ボットが侵入しているコンピュータで構成されているネットワークのこと。

Q：ボットネットにおけるC&Cサーバの役割とは。
A：侵入して乗っ取ったコンピュータに対して，他のコンピュータへの攻撃などの不正な操作をするよう，外部から命令を出したり応答を受け取ったりする。
[参　令和2年度 秋期 応用情報技術者試験 午前 問43]

Q：スパイウェア
A：コンピュータに侵入して、不正に個人情報などを収集するプログラムのこと。トロイの木馬など。

Q：ランサムウェア
A：ファイルやデータの暗号化などでアクセス不能にし、元に戻すための身代金を利用者に要求する攻撃。

Q：キーロガー
A：キーボードなどからの外部入力情報を監視するソフトウェアやハードウェアのこと。

Q：ルートキット
A：攻撃者が不正侵入後にマルウェアなどの攻撃ツールをパッケージ化して隠蔽するプログラムのこと。侵入の痕跡やバックドアもパッケージ化されている。

Q：バックドア
A：攻撃者が不正な行為に利用するため、ネットワークやサーバに設置した侵入経路のこと。

Q：偽セキュリティ対策ソフト・セキュリティ機能を有しているように偽装したソフトウェアのこと。
A：脆弱性・システムやソフトウェアなどの弱点のこと。

Q：シャドーIT
A：私物のパソコンなどを許可を得ず持ち込み、使用すること。

Q：セキュリティホール
A：セキュリティ上の弱点のこと。

Q：パスワードクラック
A：総当たり攻撃、辞書攻撃、レインボー攻撃などのパスワードを破る攻撃全般を言う。

Q：ブルートフォース（総当たり）攻撃
A：可能性がある文字のあらゆる組合せのパスワードでログインを試みる。
[参　平成27年度 秋期 応用情報技術者試験 午前 問44]

Q：辞書攻撃
A：利用者が使いそうな文字列を、一覧ファイル（辞書）として保持し、その情報でパスワードを破る攻撃手法のこと。

Q：パスワードクラック手法の一種である，レインボー攻撃とは。
A：平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。
[参　平成31年度 春期 応用情報技術者試験 午前 問38]

Q：パスワードリスト攻撃とは
A：どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて，他のWebサイトに対してログインを試行する。
[参　平成27年度 春期 応用情報技術者試験 午前 問39]

Q：クロスサイトスクリプティングとは
A：Webアプリケーションのフォームの入力フィールドに，悪意のあるJavaScriptコードを含んだデータを入力する。
[参　平成25年度 秋期 応用情報技術者試験 午前 問42]

Q：クロスサイトスクリプティングとは
A：攻撃者が用意したスクリプトを，閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み，閲覧者のWebブラウザ上でスク
リプトを実行させる。
[参　平成27年度 秋期 応用情報技術者試験 午前 問36]

Q：クロスサイトリクエストフォージェリ
A：Webサイトに不正なスクリプトを埋め込み、利用者に気付かれずに別のウェブサイトを不正に操作させる攻撃手法。Webサイトの利用時は、リクエストの発信元の正当性を確認し、作業後は必ずログアウトすることが対策となる。

Q：クリックジャッキング攻撃とは
A：WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し，WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
[参　平成28年度 春期 情報セキュリティマネジメント試験 午前 問22]

Q：ドライブバイダウンロード攻撃とは。
A：利用者がWebサイトを閲覧したとき，利用者に気付かれないように，利用者のPCに不正プログラムを転送させる。
[参　平成29年度 秋期 応用情報技術者試験 午前 問40]

Q：エクスプロイトキットとは
A：OSやアプリケーションソフトウェアの脆弱性を悪用して攻撃するツール
[参　令和元年度 秋期 応用情報技術者試験 午前 問42]

Q：SQLインジェクション
A：Webページ上で利用者がデータを入力する箇所に、特殊なコマンド（「< >」など）を使うことで、内部のレコードを不正に操作し、情報の改ざんや消去を行う攻撃手法のこと。主な対策として下記が挙げられる。
　エスケープ処理 ： 入力フォームの内容から特殊なコマンド（「&」や「< >」など）を検出し、一般の文字列に置き換える（無害化）こと。
　バインド機構 ： エスケープ処理を自動的に行うデータベースの機能で、静的プレースホルダを用いる。

Q：SQLインジェクションにおけるセキュリティ上の対策は。
A：SQLインジェクションを防ぐために，Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
[参　平成26年度 秋期 応用情報技術者試験 午前 問40]

Q：ディレクトリトラバーサル攻撃はどは
A：入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して，攻撃者が，上位のディレクトリを意味する文字列を使って，非公開のファイルにアクセスする。
[参　平成27年度 春期 応用情報技術者試験 午前 問46]

Q：中間者攻撃
A：送信者と受信者の間に介在し、なりすましや情報の横取りをする攻撃手法全般のことを言う。

Q：第三者中継
A：自身とは無関係の第三者のメールサーバを不正に中継し、身元を偽ってメールを送信する攻撃手法のこと。

Q：IPスプーフィング
A：偽のIPアドレスを使って、ファイアウォールを突破し、ネットワークに侵入する攻撃手法のこと。詐称したIPアドレスは、シーケンス番号（データやパケットの送信順序を表す番号）が正当なものとならない。

Q：DNSキャッシュポイズニング
A：DNSサーバの情報を不正に書き換え、インターネット利用者を偽のWebサイトに誘導する攻撃手法のこと。最新のパッチの適用や、DNSサーバ台数を増やすことが対策となる。

Q：セッションハイジャック
A：セッションIDやクッキー盗聴し、利用者になりすまして、不正アクセスする攻撃手法のこと。難解なセッションIDやパスワード、セッションクッキーの使用。また、これらの使用可能時間を短くすることが対策となる。

Q：リプレイ攻撃
A：ログインシーケンスを盗聴して、利用者になりすまして、不正アクセスする攻撃手法のこと。

Q：Dos攻撃
A：攻撃目標のサーバに大量のデータを送り込み、負荷をかけてサービスの低下や停止させる攻撃のこと。

Q：DDos攻撃
A：攻撃者と全く関係のない複数の第三者のコンピュータを踏み台にして、標的のサーバに一斉にデータを送り込み、負荷をかけてサービスの低下や停止させる攻撃のこと。

Q：OSコマンドインジェクション攻撃
A：外部からOSの操作やディレクトリ作成を行うコマンドなどを送り、不正操作（なりすまし、漏洩）する攻撃のこと。シェルを起動させる言語機能の利用を避けることが対策となる。

Q：カミンスキーアタック
A：攻撃対象の名前ラベルをランダム化することで、DNSキャッシュポイズニングを効果的に行う攻撃。

Q：APT(Advanced Persistent Threats)とは。
A：攻撃者は特定の目的をもち，特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗(よう)に攻撃を繰り返す。
[参　平成26年度 秋期 応用情報技術者試験 午前 問35]

Q：水飲み場型攻撃(Watering Hole Attack)の手口は。
A：標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み，標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
[参　平成29年度 春期 応用情報技術者試験 午前 問40]

Q：フィッシング(phishing)による被害は。
A："本人情報の再確認が必要なので入力してください"という電子メールで示されたURLにアクセスし，個人情報を入力したところ，詐取された。
[参　平成23年度 秋期 応用情報技術者試験 午前 問39]