2016-04-02 「脆弱性」を狭く捉えるな〜どちらかというと「脆弱性や脆弱な設定を突かれる」のほうが正しそう Security Windowsで脆弱性というと、よく「MS16-0xx」とか「CVE2016-xxxx」という感じで管理されているものを想定する人もいる「かもしれない」。 でも、記事を読むと「psexec」という文字列が出て来たり、「ログイン情報窃取」とあるので、地産地消*1が可能な設定(例:パスワードが脆弱で、パスワードリスト攻撃が成立するとか、Pass-the-Hashが可能な状態とか)を悪用されるということも想定できる。このため、図中では「脆弱性や脆弱な設定」と書いている。 *1:自動で探して攻撃試行が可能なという意味