Windows SMB クライアントにおける改ざんの脆弱性

この脆弱性は、攻撃者が認証情報を悪用することで、ネットワーク経由でSMB通信を改ざんすることを可能にします。これにより、機密情報の窃取、システムの不正な操作、さらにはネットワーク全体への影響が考えられます。攻撃者は、SMBプロトコルを利用して、認証をバイパスし、不正なアクセスを試みる可能性があります。この脆弱性の悪用は、ネットワーク内の他のシステムへの攻撃の足がかりとなる可能性も否定できません。

Organizations heavily reliant on Windows file sharing and SMB protocols are at risk. Environments with legacy Windows systems or those lacking robust network segmentation are particularly vulnerable. Shared hosting environments where multiple users access the same SMB shares could also experience broader impact if one user's account is compromised.

• windows / supply-chain:

Get-Process -Name smbclient | Select-Object ProcessId, CommandLine

• windows / supply-chain:

Get-WinEvent -LogName System -FilterXML "<QueryList><Query><Select Path="System">*[System[Provider[@Name='Microsoft-Windows-SMBClient']]]</Select></Query></QueryList>" | Where-Object {$_.Message -match "authentication failure"}

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*smb*'} | Select-Object TaskName, State

1. 2025-10-14Disclosure

   disclosure

1. 予約済み2025-09-11
2. 公開日2025-10-14
3. 更新日2026-02-22
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まず、Windows SMB Clientをバージョン10.0.26100.6899以降にアップデートすることを推奨します。アップデートが困難な場合は、SMBプロトコルのバージョンを制限する、または不要なSMBポートを閉じるなどの緩和策を検討してください。ファイアウォールや侵入検知システム (IDS) を適切に設定し、不正なSMB通信を監視することも有効です。Windows Defenderの定義を最新の状態に保ち、SMB関連の異常なアクティビティを検出できるようにしてください。