最終更新日 2023年4月14日
※各WindowsがサポートするSMBのバージョンについてマイナビの記事を参照します。
Landiskに掛かる記事でSMBの話題を書きました。SMBは Server Message Block の略で、マイクロソフト社がファイルやプリンタを共有するプロトコルとして制定したモノです。
このプロトコルは ポート445番 を使用するのですが、性格上常にポートを開けておく必要があります。そのため攻撃の入り口となりやすいです。そしてSMBv1には決定的な脆弱性があり これまでにも攻撃対象として有名になりました。
- 「EternalBlue」:SMBv1の脆弱性を悪用するツール。もともとは米国家安全保障局(NSA)が開発した。
- 「WannaCry」:有名なランサムウェア。世界中に拡散し被害を与えた。
- 「NotPetya」:ウクライナで始まったランサムウェア攻撃。被害者のコンピュータを再起動し、ハードドライブのMaster File Table(MFT)を暗号化し、Master Boot Record(MBR)を動作不能な状態に書き換える。
- PETYA/GoldenEye:Windows SMB v1の脆弱性をセカンドチャンスとして使用するランサムウェア。
TechTargetジャパンの記事によれば、445番ポートを悪用した攻撃に備える方法として、『初期バージョン「SMBv1」を無効にし、SMBの最新バージョンにパッチを適用することだ。』としています。もっと強い方法として、『SMBをオフにして445番ポートを閉じること』としています。
実際問題としてWindowsのファイル共有を切ることは困難だと思います。「SMBv1」を無効にするだけなら、OSをWindows10にUpgradeすることで解決します。ただ、古いNASは「SMBv1」しか対応していない場合があります。例えばIODATAのHDL-AとかHDL-Tです。この場合はNASを新しいモノに乗り換える必要も有ります。
また、Windowsアカウントに、強力なパスワードを設定して置くべきです。ファイル共有に厳格な権限を設定し、機密情報へのアクセスを制限するべきです。
445番ポートは開きっぱなしなので、狙われます。そのときに対処出来る状態に日頃から心がける必要がありそうです。一般家庭でDMZ領域(ネットワークの非武装地帯)に開放したSMBポートを置く事は考えにくいです。WebServerをDMZに置いたとしても不要なポートは予め閉じて置くでしょう。
一例を挙げておくと、SMB攻撃するランサムウェアは2段階ステップで実行する様です。
最初に、マルウエアをHTMLやE-Mailに仕込み、不用意にそのマルウエアをLAN環境に落としてしまうと、そのマルウエアが勝手に実行して脆弱なSMBポートを突いて、共有フォルダの鍵を掛け、鍵を提供する見返りとして「身代金」を要求されるようです。これがランサムウェアと云う名の由来でもあります。ファイル共有を有効にしていればSMBサーバが有効になっていると考えて然りでしょう。自身のPCがどのような状況なのか確認する方法も必要です。調べて見ました。
コマンドプロンプトで、sc qc lanmanworkstation | findstr /c:Smbと実行することで判るようです。実際にWindows7SP1で実行した結果です。
リモートで接続先の状態を確認する方法が必要です。Windows8.1以降のPowerShellで動作するみたいです。
※Windows7SP1のPowerShellでは動作しません。また、管理者として起動しないとやはりエラーになります。
この機能ですが、ファイル共有を実行しておかないとリストに現れません。ルータやHDDレコーダのSMBはv1.5のようです。また、HDL2-Aもv1.5のようです。
Windows10は3.1.1でした
HDL-AAXも3.1.1です。
HDL-TAはファームウエアを最新にしたためか3.1.1になっていました。
2022年1月14日 HDL-AAXにWindows7PCからログインしようとしたとき、前回ログオン時に『資格情報を記録する』にチェックしてログインしたはずなのに、その後毎回毎回『ネットワーク資格情報入力』を求められます。HDL2-AやHDL-TAは『資格情報』は記憶されており、『ネットワーク資格情報入力』を都度要求されることはありません。
何が異なるのか?
HDL-AAXはSMB1.0を斬る事が出来 実施しています。HDL2-AやHDL-TAはSMB1.0を斬る事が出来ないようです。この違いが原因なのか確認がしたいのですがなかなかうまい検証方法が見いだせていない状況です。
クライアントPCのOS |
|
|
|
Windows7SP1 |
|
|
|
Windows10(SMB1.0-ON) |
|
|
|
2023年4月14日 マイナビ あなたの生活にプラスデジタルの記事を見つけました。
2016/01/15の記事ですが「Windows 10で古いNASにアクセスできない症状の処方箋」と云う記事がありました。
この中に各「WindowsがサポートするSMBのバージョン」という表があります。上位からアクセスするためには、下位互換性をきちんと有効にしないといけないことが明解になりました。
免責事項
本ソフトウエアは、あなたに対して何も保証しません。本ソフトウエアの関係者(他の利用者も含む)は、あなたに対して一切責任を負いません。
あなたが、本ソフトウエアを利用(コンパイル後の再利用など全てを含む)する場合は、自己責任で行う必要があります。本ソフトウエアの著作権はToolsBoxに帰属します。
本ソフトウエアをご利用の結果生じた損害について、ToolsBoxは一切責任を負いません。
ToolsBoxはコンテンツとして提供する全ての文章、画像等について、内容の合法性・正確性・安全性等、において最善の注意をし、作成していますが、保証するものではありません。
ToolsBoxはリンクをしている外部サイトについては、何ら保証しません。
ToolsBoxは事前の予告無く、本ソフトウエアの開発・提供を中止する可能性があります。
商標・登録商標
Microsoft、Windows、WindowsNTは米国Microsoft Corporationの米国およびその他の国における登録商標です。
Windows Vista、Windows XPは、米国Microsoft Corporation.の商品名称です。
LabVIEW、National Instruments、NI、ni.comはNational Instrumentsの登録商標です。
I2Cは、NXP Semiconductors社の登録商標です。
その他の企業名ならびに製品名は、それぞれの会社の商標もしくは登録商標です。
すべての商標および登録商標は、それぞれの所有者に帰属します。