毎月恒例のWindowsのアップデートが4月13日に発表されました。
今回のアップデートはかなりシビアな脆弱性の対応が含まれていますので、自動で更新するようになっていない方は、至急アップデートを行ってください。

さらに、今回はWindowsアップデートの話にも関わらず、Linuxや広範なアプライアンス製品にも関係する、非常に影響範囲の広い脆弱性への対応がなされています。
その広範に影響があるというのがMS16-047です。

この脆弱性はWindowsのファイルやプリンタ共有機能のセキュリティの根幹を構成するSAM(Security Authentication Manager)とLSAD(Local Security Authority (Domain Policy))リモートプロトコルに関するもので、このプロトコルを使った認証レベル要求を適切に処理できずに特権を奪われる可能性があります。 そしてアクセス権の確認をする正常なクライアントとサーバーの間の通信に割り込んでSAMデータベースへからID,パスワード等のセキュリティ情報を得て正当なクライアントに成りすますことができるようになります。(中間者攻撃[Man-In-The-Middle attack]と呼ばれます)

SAMデータベースはアカウント情報やアクセス権等を一元管理するWindowsのセキュリティ管理データベースで、この情報を取得されると正当なクライアントとしてログインできてしまいます。

問題なのは、このWindowsのセキュリティ管理システムは現役のWindows OSの全バージョンに共通で、今回の脆弱性対策は全バージョンで必要になります。 もちろんWindowsXP等のサポートが終了したOSにもこの脆弱性がありますが、修正プログラムは当然提供されません。

しかし、影響はこれだけではありません。

Linuxや他のUnix系のOSにオープンソースで提供されているWindows互換ネットワークサービスのSambaも同様のロジックを使用しているために、Windowsと同じ脆弱性が存在することになりました。 もちろんこちらはMicrosoftとは関係のないボランティアチームで開発されていますから、Microsoftからの修正プログラムは提供されませんが、Samba開発チームから同じタイミングで修正プログラムが提供されています。

SambaをLinux他OSサーバーに載せて、Windowsクライアントのファイルサーバーとしてお使いの場合はサーバー管理者の方が修正プログラムを適用すればよいのですが、問題はLinux他OSやSambaを意識しないで使えるアプライス製品としてのNAS(Network Attached Storage)があります。

これは外付けハードディスクの筐体にネットワークインターフェースと、Linux + Sambaの組み込みPCを入れ込んだもので、ブラウザからすべての設定を行って、ファイル共有サービスを提供するものです。 ここに組み込まれたOSはLinux他を大幅にカスタマイズしたものなので、ここに組み込まれたSambaは標準的な手法でユーザーが勝手に修正することはできません。 各メーカーが修正プログラムを提供するのを待つしかありません。

しかし、この手の製品は数年でモデルチェンジし、何代前までのモデルに対して修正プログラムが提供されるかはメーカー次第です。 法律的に当該モデルの生産終了から6年経過すると保守の義務がなくなることから、その時点でサポートを終了していることが多いのではないかと思います。

この問題はスマホやタブレット、HUBやルーターやWifiルーター等のネットワーク機器にも言えることです。 多くの製品がLinux他OSをカスタマイズして使っている(AndroidもLinuxの亜種)ので、OSの脆弱性に対する修正プログラムが適用されるかどうかは、その製品のメーカーのサポートポリシーにかかっているのです。 メーカの資金力、技術力、サポートポリシー、その製品の売れた台数、後継機種の売れ具合、将来性等様々な要素を鑑みてどこまでの修正を行うかを決定されるので、マイナーメーカーのマイナー製品は、ファームウェアの更新が早く打ち切られたり、殆どなかったりすることが多いように思います。

NASをお使いの方は、メーカーのサポートページをウォッチしてください。 今日現在は何も表明されていませんが、今後何らかの対応が出てくると思います。 早くても数ヶ月かかるとおもいますが・・

バッファロー

I・Oデータ

エレコム

QNAP

ロジテック

ネットギア

VMware Workstation 12 Player