はじめに
Microsoftはサイバー攻撃の大規模化と複雑化に対処するため、2023年に「セキュア フューチャー イニシアチブ」を開始しました。 その一環として、Windows 11バージョン24H2およびWindows Server 2025では、あなたのデータ、ユーザー、組織をより安全に保護する重要なSMB機能が含まれています。
Visuality Systemsの SMB プロトコル ソフトウェア ライブラリがサポートするこれらの機能のほとんどは、デフォルトで有効になっており、スタート時点からあなたのネットワークが安全であることを保証しています。このアップデートで導入された最も重要なセキュリティ対策の 1 つは、SMB 署名です。こちらの詳細については、SMB 署名に関するビデオチュートリアルをご覧ください。
SMB署名とは?
SMB署名は、SMBメッセージに暗号署名を追加する機能です。この署名はSMBヘッダーに埋め込まれており、セッションキーと暗号スイートから得られるハッシュを使用して生成されます。メッセージが傍受されたり改ざんされたりした場合、ハッシュ検証が失敗するので、システムに潜在的なセキュリティ脅威が存在することを警告してくれます。
SMB署名の特長
- データの完全性 – 送信データが転送中に変更されていないことを確認
- 認証 – 送信者と受信者の身元を確認し、中間者攻撃を阻止
このメカニズムにより、SMB通信の信頼性と改ざんがないことが保証され、組織のネットワークに強固な防御層を提供します。
SMB署名のアルゴリズム: より強固なセキュリティへの道
Windows NTで導入されて以来、SMB署名のセキュリティは大幅に強化されてきました:
- SMBv1 – 時代遅れのMD5アルゴリズムに依存
- SMBv2 – HMAC-SHA-256にアップグレードし、より強力な暗号保護を提供
- SMBv3 – AES-CMAC を導入し、セキュリティをさらに強化
Windows 11 と Server 2022 では、AES-128-GMAC が追加されました。
AES-128-GMAC は、現代のサイバー攻撃に対抗するための、これまでで最も堅牢な署名アルゴリズムです。
SMB署名のビフォーアフター: 変更前
SMB署名は以前は多くのシーンでデフォルトで有効にはなっていませんでした:
- 選択的実施 – SYSVOLやNETLOGONのような重要な機能、またはActive Directoryドメインコントローラーによって強制される場合にのみSMB署名が必要だった
- ゲストアクセスの脆弱性 – ゲストアクセスを使用するデバイスはSMB署名が無効になっており、潜在的な脅威にさらされていた
- 管理者主導の有効化 – SMB署名の重要性を理解している経験豊富な管理者のみが、ネットワーク全体でSMB署名を設定するため、導入に一貫性がなかった
このようなギャップにより、安全性の低いデバイスや設定では、ネットワークが攻撃にさらされやすくなっていました。
SMB署名のビフォーアフター: 変更後
Windows 11およびWindows Server 2025の最新のアップデートは、これらの脆弱性に真正面から対処しています:
- デフォルトで有効 – SMB署名は今やサポートされるすべての設定で必須。無効にするには明示的なオプトアウトが必要
- セキュアな接続の優先 – SMB署名に対応していないゲストアクセスやデバイスへの接続は、もはやエラーなしで不許可
- 合理化されたセキュリティ – セキュアなデフォルト設定により、大規模な手動設定をしなくても組織が保護される
これらの変更により、SMB署名はオプション機能から基本的なセキュリティ対策に格上げされました。
SMB署名の設定
誰でもPowerShellを使ってSMB署名の状態をチェックし、設定することができます。
署名ステータスを確認するには、次のコマンドを実行してください:
>\ Get-SmbClientConfiguration | FL RequireSecuritySignature
Falseが表示された場合、SMB署名が無効になっています。
署名を有効にするには、以下のコマンドを使用してください:
>\ Set-SmbClientConfiguration -RequireSecuritySignature $true
SmbClientConfigurationはアウトバウンド接続に対して署名を強制します。
インバウンド接続の場合は、代わりにSmbServerConfigurationを使用してください。
SMB署名ベストプラクティスのための注意点
- Kerberos を使用すること: ドメイン環境での安全な認証には、NTLMv2 の代わりに Kerberos を使用する
- ネットワークアクティビティの監査を徹底すること: SMBログオンを定期的に監視し、潜在的な脆弱性を検出して対処する
- 署名を無効にしないこと: ネットワークの完全性が損なわれる
- ゲスト・アカウントを使用しないこと: 重要なセキュリティメカニズムをバイパスするゲストアカウントの使用は控える
- IPアドレスを使用しないこと: 常に完全修飾ドメイン名を使用して接続し、適切な認証と署名を確保する
結論
SMB署名は安全なSMB通信の基礎であり、データの完全性と信頼性を保証します。マイクロソフトの最新アップデートにより、この機能はこれまで以上に堅牢になり、実装も簡単になりました。
Visuality Systemsは、Microsoftのセキュリティ対策に完全に合致したSMB ソリューションを提供しています。当社のソフトウェアライブラリは、これらの機能強化をシームレスにサポートするよう設計されており、お客様のネットワークに安全で信頼性の高い基盤を提供します。カスタマイズされたガイダンスや、当社のソリューションがお客様の SMB 実装をどのように強化できるかについてなど、詳細はお気軽にお問い合わせください。
Raphael Barki, Head of Marketing, Visuality Systems
