ゼロデイ攻撃

ソフトウェアの脆弱性が発見されてから修正パッチが提供されるまでの間（0日目）を狙って行われる攻撃。対策が存在しない状態のため防御が非常に困難。

ソフトウェアの脆弱性が発見されてから、修正パッチが提供される前に、その脆弱性を悪用して行われる攻撃。対策が存在しない状態で攻撃されるため、防御が極めて困難。

ソフトウェアの脆弱性が発見されてから修正パッチが提供されるまでの間に、その脆弱性を悪用する攻撃。対策が存在しない期間を狙うため防御が困難であり、修正プログラムの迅速な適用が重要。

金融機関やECサイトなど信頼できる組織を装った偽のメールやWebサイトでユーザーを誘導し、IDやパスワード、クレジットカード番号などの個人情報を詐取する攻撃手法。スミッシング（SMSを利用）やスピアフィッシング（標的型）もある。

Webアプリケーションの入力値にSQL文の断片を挿入し、意図しないSQL文をデータベースに実行させる攻撃手法。データの不正取得、改ざん、削除が可能になる。プレースホルダ（バインド変数）の使用やエスケープ処理が主な対策。

Webアプリケーションの脆弱性を利用して、悪意のあるスクリプトをWebページに埋め込み、閲覧者のブラウザ上で実行させる攻撃手法。XSSと略され、Cookie窃取やセッションハイジャックに悪用される。入力値のサニタイジング（エスケープ処理）が主な対策。

大量のリクエストや不正なパケットを送りつけ、サーバやネットワークのリソースを枯渇させてサービスを停止に追い込む攻撃。複数の踏み台から同時に攻撃するDDoS（Distributed DoS）攻撃はさらに防御が困難。

通信を行う2者の間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃手法。MITM攻撃とも呼ばれ、暗号化されていない通信や、証明書の検証が不十分な環境で成立する。TLS/SSLの適切な運用やサーバ証明書の検証が対策。

特定の組織を標的として、高度な技術を用いて長期間にわたり執拗に攻撃を継続する脅威。初期侵入、権限昇格、内部偵察、情報窃取と段階的に進行する。標的型メール攻撃が侵入の起点になることが多く、多層防御と監視の強化が対策。