yuuty.com

やりたい をそのままに

IT セキュリティ

SMB v1.0の機能有効は危険なため Windows 10では有効にしないように!

投稿日:

Windows 10 のバージョン、1903や最新である1909においてもSMBv1の機能が選択できるようになっている。少し調べるだけで直ぐにSMBv1の有効化手順が見つかり、多く掲載されているが実際の特に業務の現場ではこれを有効にするのはセキュリティ上危険だ。個人であっても利用は控えておいた方が良い。

SMBv1を利用してはいけない明確な理由

  • SMBv1はマイクロソフト社でも既に開発、サポートされていない、利用を推奨していない
    (Windows Updateしていればokという訳では無い)
  • SMBv1は既に多くの脆弱性が発見されている
  • 利用推奨していないが故にWindows 10のバージョンアップによって自動で無効化される(辞めるべきなのでそうしている)
  • 通信自体の問題なため、Windows に限らずLinuxのsamba等でもサポートは辞めている
  • エクスプロイト(脆弱性を突く攻撃)が現実に行われており多大な被害を受けている
    (wannacry(ワナクライ)等が有名、実際に攻撃に合っている会社が多く存在する)

実際に被害を公開している企業

  • Hitachi
  • JR東日本
  • イオン
  • ホンダ
  • マクドナルド

日本を代表する超大手企業ばかり。被害には合ったが企業や体制がしっかりしているからこそ影響範囲が明確で報告義務にも対応できるのであろう。実際の被害はもっと多くあると思う。セキュリティ意識のある企業でないとしっかり報告することは難しい。

SMBv1はどこで何に使われる?

主な用途としては以下の可能性が考えられる

  • 古いNASやファイルサーバ等とのファイル共有
  • 古い複合機でpdfを送信する機能
  • 装置系等でレガシーosが搭載されている仕組みとのファイルのやり取り

smbv1はwindows xpの頃に利用されておりwindows 7以上では主な利用は無い。windows 10ではあくまで救済措置な位置づけでsmbv1を機能として残しているが、当初から初期設定では有効になってない。

古い機器をコストだけの理由で継続利用すると信頼と一緒に多額の負債となるかも。

ウイルス対策ソフトが導入されていればOKでは?

通信プロトコル自体に問題があるのでウイルス対策ソフトでカバーできる範囲は世の中で既知のウイルスとして広く蔓延しているものに限られる。パターンマッチング探索では検知が難しくするために微妙に実行ファイルの内容を変更してハッシュ値を変える等の対応ですり抜ける可能性も出てきている。
ウイルス対策ソフトによってはランサムウェア用の対策が別途設けられている場合もあるがこれはヒューリスティック探索によるものでプログラムが自動で暗号化しようとした際に止めるものであり完全では無い、誤検知もあるし、smbv1に対応するということでは無いため、敢えて危険な穴を開放していることに変わりは無い。

どんな被害に見舞われるか?

想定できる被害としては以下が挙げられる。

  • 重要な機密データが損失する
  • 機密データが不正に暗号化されてしまい身代金を要求される
  • 身代金を払わない限りデータが復旧できない
  • 身代金を払ったとしてもデータが復旧できるとは限らない
  • 同じネットワークを繋ぐ他のpcにも影響する可能性がある

被害想定額は影響範囲や被害対象によるが事例では相当な被害となった。

ここまででsmbv1の利用は危険、避けるべきという内容を記載してきた。
ここからは具体的な確認方法と設定の削除方法を記載する。

利用の有無を確認する方法と設定削除方法

自身がsmbv1を話せる機能があるかどうかの確認

自分自身のwindows のsmbv1が有効になっていないかどうか確認する。
コマンドプロンプトを右クリックするなどして「管理者権限で実行する」。

次のコマンドを実行する。

sc.exe qc lanmanworkstation

dependencies欄に、mrxsmb10という記載があればsmbv1が有効になっている。
画像はwindows10の初期設定だが無効になっている。

接続中の相手先とsmbv1で接続しているかどうかの確認

先ずは普段利用しているファイルサーバや怪しいシステムを利用しよう。

利用したら同様に管理者権限でコマンドプロンプトを実行し次のコマンドを実行する。

powershell -command get-smbconnection

図のようにdialectを確認し、1から始まる文字列があればsmbv1を利用している。
実際は相手先の機器の仕様等を確認すべきではあるが事実確認として利用しよう。

プログラムと機能からsmbv1を無効にする方法

コントロールパネルから選んでいっても良いが、windowsキーとrボタンを同時押しすることで「ファイル名を指定して実行」が表示される。

「optionalfeatures.exe」を選択すると一気にジャンプできる。

smb1.0/cifs file sharing supportのチェックを外して再起動しよう

設定は以上だ。

機能があったとしても、使えるから良いかではなく、その本質を理解しよう。





-IT, セキュリティ