セキュリティを整える。

サイバー攻撃・脅威の早見表を整える

＝ 主要なサイバー攻撃の手口と対策を、検索しながら引ける

主要なサイバー攻撃13種を攻撃名・概要・対策で横断検索できる防御リファレンス。心理/技術/認証/インフラ/AIで色分けし、狙われる弱点と今日からできる対策を提示。該当ツールへ内部リンク。送信ゼロ。

• ● 攻撃名・概要・狙われる弱点・対策を横断インクリメンタル検索
• ● 心理/技術/認証/インフラ/AIの分類タグでフィルタ＆色分け
• ● 脅威13種それぞれに弱点と「今日からできる対策」

パスワード強度・解読時間を整える

＝ パスワードの強さと、破られるまでの時間を見る

パスワードのエントロピー(bit)と総当たり解読時間をブラウザ内で即推定。よくある語・連番・繰り返し・西暦・キーボード列を減点し、強度ラベルと改善ヒントを表示。送信ゼロの防御ツール。

• ● エントロピー(bit)を文字種×長さでライブ計算
• ● よくあるパスワード・連番・繰り返し・西暦・キーボード列を検出して減点
• ● 5シナリオ(オンライン/bcrypt/GPU/大規模)の解読時間を可読表示

フィッシングURLを見抜くを整える

＝ 怪しいリンクのどこが危ないかを教えてくれる

URLを貼ると@トリックや似せ文字、サブドメイン偽装など構造的な危険サインを強調し、本体ドメインの見分け方を教える防御ツール。解析は端末内のみ・送信ゼロ。

• ● @トリック検出（本物は@の後ろ）
• ● ホモグラフ/punycodeをデコードして警告
• ● 登録可能ドメイン抽出でサブドメイン偽装を可視化

ClickFix（偽エラー詐欺）のしくみを整える

＝ 「修正手順」と称してコマンドを自分で実行させる詐欺の見抜き方

ClickFix（偽エラー詐欺）の手口を図解で理解する防御教育ツール。偽CAPTCHAがWin+Rへのコピペ実行を踏ませ感染させる流れと、見抜く判断ルール・危険サインを安全に学べる。送信ゼロ。

• ● StepDiagram 2モード（だまされる流れ／見抜いて防ぐ流れ）
• ● 危険サイン6項目チェックリスト
• ● 絶対やってはいけない例の図解（実コマンドなし）

パスキーの仕組みを整える

＝ 指紋や顔でログインする「パスキー」を、図で理解して実際に試せる

パスキー（WebAuthn）の仕組みを図解し、生体認証で実際にパスキーを作成・ログイン体験できるツール。秘密鍵が端末から出ない・フィッシングに強い理由を、自分の操作で確認できる。送信ゼロ・登録不要。

• ● 登録・ログインの鍵ペアの流れを色分け図解
• ● Touch ID / 顔認証 / Windows Hello で本物のパスキーを作成
• ● 作ったパスキーで実際にログイン（署名を表示）

2段階認証（TOTP）を整える

＝ スマホの認証アプリが出す6桁の数字の正体

2段階認証の方式（SMS/認証アプリTOTP/パスキー）を比較し、Base32秘密鍵から30秒ごとの6桁TOTPをブラウザ内で生成。秘密鍵はサーバに送らずWeb Cryptoで計算。RFC6238準拠。

• ● Base32 秘密鍵 / otpauth:// URI から TOTP を生成
• ● アプリと同じ30秒ごとの6桁を実時間で更新＋カウントダウン
• ● ワンクリックでコードをコピー

ハッシュを整える

＝ 文章やファイルの「指紋」（ハッシュ値）を作って改ざん・破損を確かめる

テキストやファイルの SHA-256/SHA-1/SHA-384/SHA-512/MD5 をブラウザ内で計算する送信ゼロのツール。ファイルの SHA-256 照合で改ざん検知もできる。

• ● テキストの SHA-256/SHA-1/SHA-384/SHA-512/MD5 をリアルタイム計算
• ● ファイルのドラッグ&ドロップ → SHA-256・MD5（改ざん・破損チェック）
• ● 公式 SHA-256 を貼って一致/不一致を即判定

ソルト＆レインボーテーブルを整える

＝ ハッシュだけでは破られる。ソルトで守るしくみを体験

パスワードのSHA-256をレインボーテーブルで逆引きする様子を再現し、ソルトで無効化できることを端末内（送信ゼロ）で対比体験できる防御・教育ツール。

• ● パスワードのSHA-256を端末内で計算（同じ入力＝必ず同じ値）
• ● 内蔵の事前計算テーブルで逆引き（クラック成功）を再現
• ● ソルトを足すとハッシュが変わり同じ表が効かなくなる対比

XSSのしくみを整える

＝ 入力をそのまま画面に出すと、なぜ危ないのかを安全に体感

XSS（クロスサイトスクリプティング）を安全に体感する防御教育ツール。入力をそのままHTMLに入れた場合とエスケープした場合を2パネルで対比。scriptはsandboxで無効化され実行されません。送信ゼロ。

• ● 危険な実装と安全な実装を2パネルで横並び対比
• ● 入力はsandbox付きiframeに隔離（allow-scripts無し）でscriptは絶対に実行されない
• ● エスケープ後の安全なHTMLをその場で確認・コピー

SQLインジェクションのしくみを整える

＝ 入力欄の細工でデータが抜ける“あの脆弱性”を、手元の練習DBで安全に体験

SQLインジェクションのしくみを手元のsql.jsサンドボックスDBで安全に再現する防御教育ツール。文字列連結の脆弱な実装とプレースホルダの安全な実装を同じ入力で並べて比較。送信ゼロ・実在DB非接触。

• ● 手元のsql.jsサンドボックスDB（ダミー3件）で完結・送信ゼロ
• ● 脆弱版（文字列連結）の実行された生SQLをそのまま表示
• ● 安全版（プレースホルダ ? バインド）と同一入力で同時対比

プロンプトインジェクションのしくみを整える

＝ 生成AIが「データに紛れた指示」に乗っ取られるしくみを安全に体感

プロンプトインジェクションを外部AIなしのローカル簡易模擬で安全に体感する防御教育ツール。指示とデータを区別しないと注入文に従う様子を再現し、防御ONで拒否に切替。送信ゼロ。

• ● システム指示＋ユーザーデータ＋防御スイッチで「乗っ取り/拒否」を対比体験
• ● 本物のLLMは呼ばずローカルの文字列ルールで模擬（送信ゼロ・外部AI非接触）
• ● 「以上の指示を無視」「ignore previous」等の注入を検出