Windows 11移行後、ファイルサーバに接続不能 やりがちなNG対応と回避策
Windows 10のEOSを目前にしてWindows 11へ移行した企業は、これまで利用できていたNASなどの機器が利用できなくなる可能性がある。どのように対応すればよいのだろうか。
「Windows 11」にはセキュリティ上の問題があると言ったら、「その主張はおかしい」と思われるだろうか。
確かにWindows 11は「Windows 10」と比べてセキュリティ対策が強化されている。PCでTPM 2.0を必須にしたことでBIOSやUEFIを書き換える改ざんがあったとしても検知や阻止がたやすくなった。SMB(Server Message Block)プロトコルを利用したファイル共有時に、全ての通信で署名が必須になったことで不正なアクセスを防ぎやすくなった*。SMBクライアントとサーバの通信の暗号化にも対応した。
*Windows 11 Update(バージョン24H2)からの変更だ。それ以前のバージョンではSMB署名はSYSVOLやNETLOGONという名前の共有への接続と、「Active Directory」のドメインコントローラーのクライアントに対してのみ必要だった。「Windows Server 2025」からも署名が必須になった。
この変更についてはMicrosoftが「SMBセキュリティ強化」と題して、詳しく解説している。
良いことずくめに見えるが、実は問題が起こることがある。SMBプロトコルの署名が必須になったことで、これまで使っていた外部機器にアクセスできなくなる場合がある。
Win 11移行後、ファイルサーバに接続できない 正しい対処法は?
Windows 11に乗り換えた後、比較的古いNASやファイルサーバ(SMBサーバ)にアクセスできなくなり、業務用の資料を閲覧できなくなることがある。これらのデバイスはSMB署名をそもそもサポートしていない場合があるからだ。
さらにユーザー名やパスワードを必要としないSMBのゲスト接続がWindows 11では標準でブロックされるため、ゲスト接続を利用していたユーザーもアクセスできなくなる。
ファイル共有ができないと業務が進まなくなる。どうすればよいだろうか。対応策は2つある。1つ目の対応策はSMB署名の無効化だ。Windows 11にはセキュリティ設定を変更する機能がある*。
*グループポリシーエディター(gpedit.msc)を使って、左側のメニューから[コンピューターの構成]−[Windowsの設定]−[セキュリティの設定]−[ローカル ポリシー]−[セキュリティオプション]に移動する。ここで設定の一覧から、「Microsoftネットワーククライアント: 常に通信にデジタル署名を行う」を開き、「無効」を選択後、OKをクリックするとSMBのセキュリティを無効化できる。
こうすれば、Windows 10を利用していたときと同じようにファイル共有ができる。
SMBプロトコルの署名の無効化はコストがかからず、無効化自体も数分で済むため、この方法を選んでいる企業もあるだろう。
緊急対応策としてシステム部門などの監視の下で無効化を一時的に適用するのであれば認められるかもしれないが、この状態をそのまま続けるのは危険だ。
多くの企業がWindows 11で有効になったSMBセキュリティの恩恵を受ける中、これまで通りのSMB設定で使い続けると、集中的に攻撃を受ける可能性が高くなるからだ。
もう一つの対策は費用がかかる
もう一つの対策は、アクセスできなくなったNASやファイルサーバを買い換えることだ。バージョンアップだけで済む場合もある。
情報システム部門やセキュリティ担当部門に支援を求めて、機器の更新を依頼しよう。
SMBの署名を無効化したときに起こること
Windows 11でSMB署名を無効化すると具体的にどのような危険性があるのだろうか。これはSMB署名が有効になっていなかったWindows 10で起きた攻撃例を見れば分かる。
データの改ざん
SMB署名を使うと通信相手が本物だということと、通信内容の整合性が保たれていることを確認できる。逆に言えば、SMB署名が無効化されていると、攻撃者が有効な認証情報を流用(SMBリレー)していても検出できず、別サーバに不正アクセスできることがある。
同様にメッセージの整合性が保証されないため、攻撃者が転送中のファイル内容を不正に書き換えたり、欠落させたりできる。
NTLM認証情報の不正利用
Windowsには認証プロトコルとして古いNTLMと新しいKerberosがある。どちらもWindows 11で有効だ。だが、NTLMには欠陥や脆弱(ぜいじゃく)性が残っており、Microsoftによるパッチが提供されていないものが残っている。SMBの署名がない場合、NTLMが使われる可能性が高くなる。NTMLはユーザー名を平文で送信するため、認証情報の窃取につながりやすい。
認証リフレクション攻撃
これはSMB署名を使っていない環境ではKerberos認証であってもシステム権限の取得につながるという攻撃だ。2025年6月に発表された「CVE-2025-33073」として知られる脆弱性を利用する。
盗み出した認証情報を使って、別サーバに不正アクセスが可能になる場合がある。
SMBゲスト認証の悪用
ゲスト接続を明示的に有効化していると、中間者攻撃を受けやすくなる。通信内容を傍受されたり、ファイルを改ざんされたりする。さらにファイルの読み取りや書き込みが可能になるため。悪意のあるショートカットやマルウェアを共有フォルダに置くことで、ユーザーによるリモートコード実行を招いてしまう恐れがある。
ワーム型マルウェアによる横展開
SMB署名が無効になっているネットワークでは、「WannaCry」や「NotPetya」などのワーム型マルウェアがSMB経由で社内ネットワーク全体に急速に拡散されてしまう。WannaCryやNotPetyaは対策されているものの、同様の手法を採った新しいマルウェアに対して脆弱になる。
Active Directoryサーバの乗っ取り
以上の攻撃を組み合わせると、Active Directoryサーバの乗っ取りに至る可能性がある。まずSMBリレー攻撃や認証リフレクション攻撃を使って権限を奪い、システム権限や管理者権限を持つ認証セッションを作り出す。こうなると、管理者権限でActive Directory内の別のホストやドメインコントローラーにもアクセス可能になる。Active Directory全体が乗っ取られるのは時間の問題だ。
乗っ取られてしまうと復旧は極めて困難になり、犯罪者の潜伏を招き、甚大な被害につながる。
ではどうすればよいのか
以上のようにNASなどが使えないからといって、SMBプロトコルの署名を無効にすることは全くお勧めできない。部門長や情報システム部門、セキュリティ担当部門に、Windows 11導入以降に接続できなくなった機器の買い換えを相談しよう。今回取り上げた危険性を提示することで、交渉がスムーズに進むかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
EOS後もWindows 10を「使い続ける勢」の言い分 中小企業はなぜWin 11への移行をためらうのか?
ノークリサーチの調査によると、Windows 10のサービス終了時点では回答者のうち過半数がWindows 10を使い続ける見込みだ。何が中小企業のWindows 11への移行を阻むのか。
「Windows 11」移行前に確認すべきセキュリティリスクと事前対策
Windows 10のサポートまで約1年半。対象PCの洗い出しやパッチの適用状況、事前検証、エンドポイントセキュリティ、アップデートファイルの適用方法などやるべきことや考えるべきことは多い。セキュリティリスクについては特に慎重に考えたい。
2018年、セキュリティの穴は「人」や「プロセス」にある
2017年に日本を襲ったサイバー攻撃についてトレンドマイクロが振り返りを実施。「3つのセキュリティ上の欠陥」が企業に深刻な影響を与えたと総括した。