SMB1 はランサムウェア攻撃に対してどの程度脆弱か?
SMB またはサーバー メッセージ ブロックは、コンピューター ネットワーキングで一般的な用語です。 Barry Feigenbaum は、1980 年代に IBM で SMB を設計しました。 SMB の主な目的は、ネットワーク上のノード間でプリンター、ファイル、およびシリアル ポートへの共有アクセスを提供することです。プロセス間通信用のトランザクション プロトコルを運ぶことができます。
Server Message Block の使用には、主に Windows コンピュータが含まれます。サーバー コンポーネントとクライアント コンポーネントに使用される Windows サービスは、それぞれ LAN Manager Server と LAN Manager Workstation です。
SMB バージョン 1 について詳しく知りましょう。
SMB1 の歴史
サーバー メッセージ ブロック、SMB は、もともと IBM によって設計され、1990 年代半ばに Microsoft によって LAN Manager 製品で使用されました。 SMB の目的は、DOS INT 21h ローカル ファイル アクセスをネットワーク ファイル システムに変えることでした。 SMB 1.0 は Common Internet File System に名前が変更されました。平たく言えば、これがネットワーキングの始まりであり、ローカル ファイル システムがネットワーク経由で利用できるようになったと言っても過言ではありません。
当初、SMB 1.0 の実装には多くの問題があり、SMB はエンド ユーザー向けの小さなファイルを処理できませんでした。さらに、プロトコルはおしゃべりだったので、遠距離でのパフォーマンスは良くありませんでした。 Microsoft はバージョンを変更し、SMB プロトコルを LAN Manager 製品に統合しました。これは、1990 年頃に 3Com で OS/2 向けに開発を開始したものです。それ以来、Windows for Workgroups およびそれ以降のバージョンの Windows でプロトコルに機能を追加し始めました。 CIFS 1996 では、Microsoft は Windows 95 に付属する SMB ダイアレクトを開発しました。これにより、より大きなファイル サイズのサポート、TCP/IP を介した直接転送、シンボリック リンクとハード リンクなど、いくつかの機能が追加されました。
仕組み
SMB プロトコルは、アプリケーションのユーザーが、プリンター、メール スロットなどを含む他のリソースと共に、リモート サーバー上のファイルにアクセスできるようにするために使用されます。したがって、クライアント アプリは、リモート サーバー上のファイルにアクセス、読み取り、作成、移動、および変更を行うことができます。また、SMB クライアント リクエストを受信するように設定されている任意のサーバー プログラムに接続することもできます。
SMB プロトコルは、接続を確立するためにサーバーとクライアント間で複数のメッセージを送信するため、応答要求プロトコルとも呼ばれます。 SMB プロトコルはレイヤー 7 またはアプリケーション層で機能し、ポート 445 の TCP/IP 経由でトランスポートに使用できます。 SMB プロトコルの初期のバージョンは、API (アプリケーション プログラミング インターフェイス) NetBIOS over TCP/IP を使用します。
現在、TCP/IP を介して直接 SMB をサポートしていないデバイスと通信するには、トランスポート プロトコルを介した NetBIOS が必要です。
SMB1 がランサムウェアやその他の攻撃を引き起こす仕組み
多くの企業がだまされてお金をだまされた理由である WannaCry ランサムウェアについてはよく知られているはずです。この種のランサムウェアとトロイの木馬マルウェアの亜種は、Windows Server Message Block (SMB) の脆弱性に依存して、組織のネットワークを介して伝播します。
通常、攻撃者はフィッシング メールを使用して標的のシステムに感染しますが、WannaCry は異なります。一般公開されている SMB ポートを標的とし、NSA に漏洩した疑いのある EternalBlue エクスプロイト を使用しました。 ネットワークに侵入し、DoublePulsar エクスプロイトを使用した疑い 持続性を確立し、WannaCry ランサムウェアのインストールをサポートします。
効果的な理由
より高い率で害を及ぼすには、ワームのような感染が拡散し続ける必要があるため、収益を増やすための労力はほとんど必要ありません。接続されたシステムを介して横方向に拡散するために、SMB の脆弱性が使用されるようになるのはそのときです。
SMB やネットワーク セグメンテーションなどのこれらの不要なプロトコルは、システムがハッカーにさらされる可能性があるため、無効にする必要があります。また、すべてのシステムを最新バージョンのオペレーティング システムに更新し、時間の経過とともにセキュリティ アップデートのパッチを適用することをお勧めします。
SMB 設定はすべてのシステムで有効になっていますが、必ずしもすべてのシステムで必要というわけではありません。したがって、それらを使用しない場合は、SMB1 およびその他の通信プロトコルを無効にすることをお勧めします。
Wannacry が SMB の脆弱性を悪用するために使用したサイバー ツールは 2 つだけでした。 SMB の脆弱性を利用したランサムウェア攻撃はこれだけではありません。今後のワームである EternalRocks には、世界中のシステムに感染する 7 つのサイバー ツールが付属しています。
EternalRocks は、EternalBlue、EternalChampion、Eternal Synergy、および Eternal Romance という致命的なサーバー メッセージ ブロック ツールを利用します。また、SMBTouch と ArchTouch は SMB 偵察ツールとも呼ばれ、影響を受けるコンピューターを監視します。
2 つのツールを備えたワームが世界に大混乱を引き起こしたとき、EternalRocks が引き起こした破壊の甚大さを想像することさえできません.
攻撃はどのように行われたか?
現在、EternalBlue、EternalChampion、EternalRomance の 3 つのエクスプロイトが公開されており、SMB の脆弱性を悪用する可能性があります。 EternalBlue は WannaCry と Emotet で使用されました。 Eternal Romance は、Bad Rabbit、NotPetya、TrickBot によって使用されました。 EternalSynergy と呼ばれるもう 1 つのエクスプロイトも存在します。
ShadowBrokers という名前のハッカー グループが、これらすべてのエクスプロイトを漏らしました。 1 か月以内に Eternal Blue のエクスプロイトが使用され、WannaCry は野火のように拡散しました。
EternalRocks は、マルウェアが感染したシステムにインストールされるためのバックドアとして DoublePulsar を使用します。
調査によると、バックドアはまだ保護されておらず、他のハッカーがそれを媒体として使用してマルウェアを導入し、システムを破壊する可能性があります.
その後、Bad Rabbit や Not Petya などのさまざまな大規模なマルウェア攻撃が、2017 年に SMB の脆弱性を利用して組織のネットワークに侵入しました。2018 年の第 3 四半期と第 4 四半期には、Emotet と TrickBot のトロイの木馬攻撃がピークに達しました。
SMB バージョン 1 とその脆弱性については十分に理解しています。SMB 1 を使用していない場合は、使用しない方がよいでしょう。
次のセグメントでは、Windows で SMB1 を検出、有効化、または無効化する方法について説明します。それでは、始めましょう!
Windows で SMB1 を検出、有効化/無効化する方法
方法 1: Windows 8.1 および Windows 10 で PowerShell メソッドを使用して SMB v1 プロトコルを検出、有効化/無効化
検知する
Windows キーと X キーを押して、[スタート] メニューの上にコンテキスト メニューを表示します。
リストから、Windows PowerShell 管理者を見つけます。
注: 検索ボックスに「PowerShell」と入力すると、PowerShell を取得できます。 Windows PowerShell オプションを選択し、右クリックして管理者として実行します
PowerShell ウィンドウで、「Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol」と入力します
無効にする方法
- Windows キーと X キーを押して、[スタート] メニューの上にコンテキスト メニューを表示します。
- リストから、Windows PowerShell 管理者を探します。
注: 検索ボックスに「PowerShell」と入力すると、PowerShell を取得できます。 Windows PowerShell オプションを選択し、右クリックして管理者として実行
- PowerShell ウィンドウで、「Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol」と入力します。
有効にするには
- Windows キーと X キーを押して、[スタート] メニューの上にコンテキスト メニューを表示します。
- リストから、Windows PowerShell 管理者を探します。
注: 検索ボックスに「PowerShell」と入力すると、PowerShell を取得できます。 Windows PowerShell オプションを選択し、右クリックして管理者として実行
- PowerShell ウィンドウで、「Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol」と入力します
Y を入力して変更を有効にします。
方法 2:SMB1 を無効/有効にして Windows の機能をオンまたはオフにする
ステップ 1: [スタート] ボタンに移動し、「コントロール パネル」と入力します。コントロール パネル デスクトップ アプリが表示されます。クリックしてください。
ステップ 2 :プログラムと機能を探します。
ステップ 3: システムにインストールされているソフトウェアの一覧が表示されたウィンドウが表示されたら、パネルの左側にある [Windows の機能を有効または無効にする] をクリックします。
ステップ 3: SMB1.0/CF ファイル共有サポートの横にあるチェックマークを外して、SMB1 を完全に無効にする必要があります。有効にしたい場合は、同じ横にチェックマークを付けてください。
方法 3 :レジストリ エディターを使用して SMB 1 を有効/無効にする
レジストリ エディターを使用して、SMB1 を有効または無効にすることもできます。先に進む前に、レジストリ エディターのバックアップを作成してください。
注: バックアップを作成するには、次の手順に従ってください:
ステップ 1: Windows と R を押して regedit と入力し、Enter キーを押します。
ステップ 2: レジストリ エディターで、[ファイル] -> [エクスポート] に移動します。
ステップ 3: レジストリ ファイルのバックアップを任意の場所に保存するためのウィンドウが開きます。
Windows で SMBv1 を有効/無効にするには、次の手順に従います。
ステップ 1: Windows と R を押して regedit と入力し、Enter キーを押します。
ステップ 2: レジストリ エディターで、次のパスに移動します:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
ステップ 3: ペインの右側で、レジストリ エントリを見つけます:SMB1,
- REG_DWORD の値が 0 の場合、無効になります。
- REG_DWORD の値が 1 の場合、有効です。
値を確認するには、SMB を右クリックし、[変更] をクリックします。その中の値データを確認してください。
注: SMB (DWORD) が見つからない場合は、作成できます。パネルの右側を右クリックします。 [新規] をクリックし、[DWORD] を選択します。そのキーに SMB1 という名前を付けます。
注意 これらの変更を行ったら、コンピュータを再起動する必要があります。
システムが悪意のある攻撃の影響を受けていると思われる場合、または将来それらを防止したい場合は、Systweak の Advanced System Protector などの保護ツールをいつでもインストールできます。 高度なシステム プロテクター システムに存在するすべての感染を撃退するためのマルウェア対策、スパイウェア対策、およびウイルス対策技術が強力に詰め込まれたワンストップ ソリューションです。
また、データが安全であることを確認するために、システムのバックアップを作成することを常にお勧めします。利用可能なデータ バックアップ ツールはたくさんありますが、適切なものを持っていることが重要です。 正しいバックアップ SSL暗号化が付属しているため、データのバックアップに関しては最も信頼できるツールの1つです.所有しているすべてのデバイスでデータにアクセスできるようになります。データをアップロードするだけで、バックアップ サービスによって安全なクラウド サーバーにデータが保管されます。
したがって、このようにして、サーバー メッセージ ブロック (SMB 1) を簡単に無効/有効にすることができます。セキュリティ上の懸念は新しいものではありませんが、WannaCry ランサムウェアによって引き起こされた混乱は警鐘と見なす必要があります。 Windows オペレーティング システムの SMB1 サービスの脆弱性を利用して攻撃を開始します。 Microsoft 自身でさえ、セキュリティ上の理由から SMB1 を無効にすることを推奨しているため、無効にしておくことで、これらのランサムウェアがシステムを犠牲にするのを防ぐことができます.
また、データが安全でシステムが保護されていることを確認するために、Right Backup と Advanced System Protector をいつでも利用できます。
記事が気に入りましたか?以下のコメント セクションでご意見をお聞かせください。
-
Windows Defender でランサムウェア保護を有効にする方法
PC をマルウェアから保護するために、Microsoft の Windows Defender アプリに依存していますか?はいの場合、会社が Windows Defender にランサムウェア保護機能を組み込んでいることを知って喜んでいるでしょう.また、Windows 10 の最近のすべてのバージョンが付属しています。 最も重要なセキュリティ機能の 1 つであるにもかかわらず、ランサムウェア プロテクションはデフォルトで無効になっています。なぜですか?考えられる最善の説明は、誤検知が発生しやすく、正当なアプリを脅威として検出してブロックする可能性があるということです。 しかし、ランサムウェ
-
Windows 11 で DNS サーバーを変更する方法
プライバシーを強化したい場合は、Windows 11 PC/ラップトップで DNS 設定を構成する必要があります。 Web ページが開かれている場合でも、アプリがバックグラウンドでサーバーに接続しようとしている場合でも、コンピューター上のすべてのインターネット通信を保護します。この分野に慣れていない場合は、この詳細な記事を読んで、Windows 11 で DNS サーバーを変更する方法を確認してください。 関連項目:Windows 11 でボリューム ラベルを変更する方法 DNS とは何ですか? なぜ DNS を変更する必要があるのですか? 私たちの多くは、インターネットに接続するため