SMB1.0の影響と無効化について

SMBとは

SMBとは、Windowsのファイル共有に利用されるプロトコルで、現在はOSを問わず一般的なファイル共有で利用される共有の仕組みとして利用されています。

SMBにもいくつかのバージョンがあり、Windows 2000やXPで利用された「SMB 1.0」、Windows Vistaで導入され、高速化された「SMB 2.0」、Windows 7からの「SMB 2.1」、Windows 10からの「SMB3.11」などがあります。

このうち、既にサポートが終了しているWindows 2000やXPで利用されたSMB 1.0は、脆弱性が多く報告されているため、無効化が推奨されています。
※ SMB 1.0は、SMBv1やCIFSなどと呼ばれることもあります。

SMB1.0の影響

SMB 1.0を利用して共有サーバに接続した場合、以下の影響があります。

• SMB 2.0以降を利用した場合と比べて、接続速度や通信速度が遅い
• 古い方式で脆弱性が修正されないので、SMB 1.0の脆弱性を狙った攻撃の影響を受ける可能性がある

2017年に流行したランサムウェアWannaCryも、このSMB 1.0の脆弱性を悪用して感染を拡大することが知られています。

脆弱性の影響を防ぐために、Windows Updateを実行して最新の更新プログラムを適用することに加え、SMB 1.0を無効化することをご検討ください。

SMB1.0通信の検知

NetStableでは、以下のSMB 1.0通信を検知するシグネチャをリリースしています。

• 3000205 Global SMB1 Trans Command
  外部(グローバルIP)から、SMB 1.0の接続を開始しようとした通信を検知するシグネチャです。
  外部から共有ファイルを閲覧されたり、脆弱性を攻撃され、マルウェアに感染する恐れがあります。

2017年に流行したランサムウェアWannaCryも、このSMB 1.0の脆弱性を悪用して感染を拡大することが知られています。

脆弱性の影響を防ぐために、Windows Updateを実行して最新の更新プログラムを適用することに加え、SMB 1.0を無効化することをご検討ください。

SMB1.0の無効化

利用中のサーバやNAS等の設定を確認し、SMB 2.0以降が利用できる場合、以下の手順にてパソコン側のSMB 1.0を無効化されることをご検討ください。

• Windows 7
  コマンドやレジストリを操作する必要があります
  以下のMicrosoft技術情報を参照してください
  WindowsとWindows ServerでSMBv1、SMBv2、SMBv3を検出する方法と有効または無効にする方法
  https://support.microsoft.com/ja-jp/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server
• Windows 10 / 8.1
  プログラムの追加と削除 内のWindowsの機能の有効化または無効化 よりSMB 1.0を無効化することが出来ます
  「SMB 1.0/CIFS ファイル共有のサポート」のチェックを外します
  ※ 詳細は上記のMicrosoft技術情報を参照してください
  WindowsとWindows ServerでSMBv1、SMBv2、SMBv3を検出する方法と有効または無効にする方法

まとめ

• SMB 1.0は古いファイル共有方式であり、脆弱性がある
• WannaCry等のランサムウェアもこの脆弱性を悪用している
• 確認の上、必要が無ければSMB 1.0を無効化する