2019年9月のScan PREMIUM 会員限定記事

Microsoft Windows において AppXSvc でのジャンクションの取り扱い不備により任意のファイルの権限が変更可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2019.9.27 Fri 8:15

Microsoft Windows において AppXSvc でのジャンクションの取り扱い不備により任意のファイルの権限が変更可能となる脆弱性（Scan Tech Report）

019 年 9 月に、Microsoft Windows において、任意のファイルの全アクセス権限を取得することが可能となる脆弱性が報告されています。

ツイッターやインスタのフェイクアカウントが生まれるところ～ソーシャルメディア操作「産業」その実態とエコシステム画像

研修・セミナー・カンファレンス

中尾真二（ Shinji Nakao ）

2019.9.26 Thu 8:15

ツイッターやインスタのフェイクアカウントが生まれるところ～ソーシャルメディア操作「産業」その実態とエコシステム

ソーシャルメディアの操作（ソーシャルメディアマニピュレーション）は、すでに現実の問題となっている。「いいね」やフォロワーは簡単に金で買うことができる。購入可能なフォロワーはどのように作られているのだろうか。

学術論文「人間よりも賢く機能するボット：Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー（The Register）画像

国際

The Register

2019.9.18 Wed 8:15

学術論文「人間よりも賢く機能するボット：Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー（The Register）

広く使用されているGoogleのボット検出システムを迂回する方法を研究者が示したのはこれが初めてではない。ルイジアナ大学のチームはそれを一歩進めた。

Webmin においてパスワード変更機能に仕込まれたバックドアコードにより遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2019.9.12 Thu 8:15

Webmin においてパスワード変更機能に仕込まれたバックドアコードにより遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

2019 年 8 月に、OS 管理ツールである Webmin に、認証を必要とせずに遠隔から任意の命令の実行を強制させることが可能となる脆弱性が報告されています。

高額なコンサル不要 !? ～ ISOG-J 公開三つの無料ドキュメント活用方法画像

研修・セミナー・カンファレンス

中尾真二（ Shinji Nakao ）

2019.9.11 Wed 8:15

高額なコンサル不要 !? ～ ISOG-J 公開三つの無料ドキュメント活用方法

専門家のアドバイスやシステム導入は重要だが、依頼側もすべて専門家やベンダーにおまかせというわけにはいかない。事前の知識や最低限の専門スキルがないと、提案の評価もできないし、投資が無駄になる可能性もある。

新規登録ドメインの七割が怪しい、作成 32 日未満ドメインはブロック推奨～ 1,530 TLD 新規ドメイン調査結果解説（The Register）画像

国際

The Register

2019.9.10 Tue 8:15

新規登録ドメインの七割が怪しい、作成 32 日未満ドメインはブロック推奨～ 1,530 TLD 新規ドメイン調査結果解説（The Register）

IT 管理者が、作成から 1 ヵ月未満のあらゆるウェブドメインへのアクセスを禁止すると、マルウェアをはじめとするインターネット上の怪しいコンテンツから効果的にユーザーを守ることができる。

中国テンセント社セキュリティ研究所、iPhone の顔認証 Face ID をハッキング画像

研修・セミナー・カンファレンス

中尾真二（ Shinji Nakao ）

2019.9.9 Mon 8:15

中国テンセント社セキュリティ研究所、iPhone の顔認証 Face ID をハッキング

2019 年の Blackhat USA では、中国のテンセント社の技術者が、安価な方法で FaceID を突破する方法を紹介した。

エンタープライズソフトウェアによる顧客機密情報の収集・送信が発見される（The Register）画像

国際

The Register

2019.9.4 Wed 8:10

エンタープライズソフトウェアによる顧客機密情報の収集・送信が発見される（The Register）

エンタープライズセキュリティ、データ分析、ハードウェア管理ツールなど、データの安全を維持するために利用されるそれらのツールは、顧客が考えるよりはるかに多くの情報を収集、共有している。

提唱から10 年、見直されるサイバーキルチェーンほか～ 2019 年 8 月のふりかえり [Scan PREMIUM Monthly Executive Summary] 画像

脆弱性と脅威

株式会社サイント代表取締役兼脅威分析統括責任者岩井博樹

2019.9.3 Tue 8:10

提唱から10 年、見直されるサイバーキルチェーンほか～ 2019 年 8 月のふりかえり [Scan PREMIUM Monthly Executive Summary]

Carbon Black 社が「Cognitive Attack Loop」を提唱し、NIST が APT に対する「Cyber Resilience Guidance」を9月にリリースすることを発表するなど、サイバーセキュリティ対策において新たな動きがありそうです。

2019年9月のScan PREMIUM 会員限定記事

Microsoft Windows において AppXSvc でのジャンクションの取り扱い不備により任意のファイルの権限が変更可能となる脆弱性（Scan Tech Report）

ツイッターやインスタのフェイクアカウントが生まれるところ ～ ソーシャルメディア操作「産業」その実態とエコシステム

学術論文「人間よりも賢く機能するボット：Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー（The Register）

Webmin においてパスワード変更機能に仕込まれたバックドアコードにより遠隔から任意のコードが実行可能となる脆弱性（Scan Tech Report）

高額なコンサル不要 !? ～ ISOG-J 公開三つの無料ドキュメント活用方法

新規登録ドメインの七割が怪しい、作成 32 日未満ドメインはブロック推奨 ～ 1,530 TLD 新規ドメイン調査結果解説（The Register）

中国テンセント社 セキュリティ研究所、iPhone の顔認証 Face ID をハッキング

エンタープライズソフトウェアによる顧客機密情報の収集・送信が発見される（The Register）

提唱から10 年、見直されるサイバーキルチェーン ほか ～ 2019 年 8 月のふりかえり [Scan PREMIUM Monthly Executive Summary]

ツイッターやインスタのフェイクアカウントが生まれるところ～ソーシャルメディア操作「産業」その実態とエコシステム

新規登録ドメインの七割が怪しい、作成 32 日未満ドメインはブロック推奨～ 1,530 TLD 新規ドメイン調査結果解説（The Register）

中国テンセント社セキュリティ研究所、iPhone の顔認証 Face ID をハッキング

提唱から10 年、見直されるサイバーキルチェーンほか～ 2019 年 8 月のふりかえり [Scan PREMIUM Monthly Executive Summary]