再チェック! ファイル共有プロトコル「SMB」のためのセキュリティ対策山市良のうぃんどうず日記(83)(2/2 ページ)

» 2017年01月30日 05時00分 公開
[山市良テクニカルライター]
前のページへ 1|2       

ネットワークの“境界”でSMBをブロックする

 2つ目のベストプラクティスは「SMBトラフィックをブロックする」こと。重要なのはインターネット接続のネットワークの“境界”でブロックすることです。

 SMBは、家庭内や企業内のLAN(ローカルエリアネットワーク)環境で便利に使える共有プロトコルです。バージョンは別として、SMBはほとんどの企業におけるファイルサーバへのアクセスプロトコルの標準になっているはずです。ブロックする場所を間違えると、家庭や企業の共有環境を全く利用できなくなるので注意が必要です。

 また、モバイルブロードバンド接続や信頼できないネットワーク(Free Wi-Fiやホテルのインターネット接続サービス)などで、インターネットに接続している人も多いと思います。その場合、PCのすぐ外は、さまざまな脅威と隣り合わせです。PCのネットワーク接続そのものが“境界”になります(図1)。

図1 図1 ネットワークの“境界”を知り、境界でSMBトラフィックをブロックする

 家庭内や企業内ネットワークに接続している場合は、インターネットに接続するルーターが境界になります。企業の場合は、その手前にファイアウォール専用機器が設置されているかもしれません。家庭用ブロードバンドルーターの場合は、自分で例外設定を行わない限り、プロトコルに関係なく、着信方向の全ての接続はブロックされるようになっているはずです。

 ネットワークの境界でブロックするべきは、以下のTCP/UDPポートになります。ポート137〜139は「NBT(NetBIOS over TCP/IP)」のポート、ポート445はWindows 2000から導入された「Direct Hosting of TCP/IP」のポートです。これらは、SMB(アプリケーション)の下位プロトコル(トランスポート)です。

ブロックするポート 使用プロトコル
137/UDP NETBIOS Name Service(netbios-ns)
138/UDP NETBIOS Datagram Service(netbios-dgm)
139/TCP NETBIOS Session Service(netbios-ssn)
445/TCP Direct Hosting of SMB(microsoft-ds)
▲ネットワークの境界でブロックすべきTCP/UDPポート

 SMBに関しては、発信方向のトラフィックについてもブロックするべきです。一部のルーターでは、初期設定でブロックするようになっているものもあります(画面3)。

画面3 画面3 お使いのブロードバンドルーターのファイアウォール設定を再確認。発信方向についても、NBTとDirect Host of SMBをブロックすることを推奨

 SMB(SMB v3は除く)はインターネット上での利用を想定していませんし、使用すべきでもありません。発信方向もブロックすることで、不用意に情報が漏れることを防止できます。実際、ある条件下において、SMBで情報が外部に送信されてしまうという脆弱性問題がありました。

 暗号化機能を備えるSMB v3は、インターネット上でも安全に使えることになっています。例えば、Microsoft Azureのストレージは、SMB v3によるインターネット経由でのファイル共有接続をサポートしています。こういった用途で利用していない限り、発信方向のSMBトラフィックはブロックしてしまいましょう。

 モバイルインターネット接続や信頼できないネットワークを通じて、インターネットに直接接続している場合は、ネットワーク接続が「パブリック」と識別されていることを確認してください(画面4)。

画面4 画面4 インターネットに直接接続している場合は、ネットワーク接続が「パブリック」に分類されていることを確認する

 また、Windowsファイウォールの設定で「ファイルとプリンターの共有」が「パブリック」に許可されていないことも確認してください(画面5)。

画面5 画面5 Windowsファイウォールの設定で「ファイルとプリンターの共有」が「パブリック」に許可されていないことを確認する

 これで、境界であるネットワーク接続で、SMBトラフィックをブロックできます。Windowsファイアウォールではなく、他社のパーソナルファイアウォール製品を利用している場合は、そちらの設定を確認する必要があります。

 なお、ネットワーク接続が「プライベート」に識別されていて、変更方法がよく分からないないという場合は、以下の記事を参考にしてください。

2017年3月23日追記

 2017年3月15日、SMB v1に存在する複数の脆弱性情報が公開され、Windows Vista SP2およびWindows Server 2008 SP2以降向けに更新プログラムがリリースされました。

 マイクロソフトセキュリティ情報 MS17-010 - 緊急

 Microsoft Windows SMBサーバー用のセキュリティ更新プログラム(4013389)

 公開日:2017年3月15日

 https://technet.microsoft.com/library/security/MS17-010


筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。