約3％のユーザーがSMBポートをインターネットに開放、ラックが注意喚起

　株式会社ラックは、14日から提供しているネットワークセキュリティ設定の自己診断サービス「自診くん」公開から1週間の結果を公表した。診断を行ったユーザーの約3％がTCPポート139/445番をインターネットに開放していたという。

　公表されたのは、診断結果から3000件をランダムに抽出した結果の分析。TCPポート139番はNETBIOS、同445番はWindows用のファイル共有プロトコルであるSMBが利用するもの。ランサムウェア「WannaCry」は、このSMB v1の脆弱性を悪用して感染を広げるものだった。

　これらのポートは社内などのローカルネットワーク向けには開放されているのが一般的だが、インターネットに開放される設定は推奨されているとは言えない。

　ラックでは、TCPポート445番の開放が確認できた場合、WannaCryなどの侵入余地があることになり、Microsoftが3月に提供開始したセキュリティ更新プログラム「MS17-010」が適用されていなければ、WannaCryに感染する恐れがあるとしている。

　この診断結果については、USB通信機器やSIM内蔵タブレットPCなど、グローバルIPアドレスを割り当てて通信サービスを提供するモバイルデータ通信環境での診断結果と推定。対策として、ポケットWi-Fiなどのルーターやテザリングでのインターネット接続を行うか、モバイルデータ通信環境時には、ファイアウォールでTCPポート139/445番の通信を遮断する設定を行うことを挙げている。

　ラックによれば、一部のセキュリティソフト付属のファイアウォール機能では、該当ポートが標準で開放状態になっているという。

　また、TCPポート22番（SSH）と23番（Telnet）が一部の環境で解放されていることについて、2016年10月に大規模感染を引き起こしたIoTマルウェア「Mirai」を例に挙げながら、これらのポートに接続可能な場合、脆弱性に対する攻撃に加え、辞書攻撃などによる不正アクセスによってパスワードを突破されてしまう危険性があるとして、注意を促している。

　自診くんは、WindowsやMac、スマートフォンなどの機器で、サイバー攻撃に悪用される恐れのある通信が可能かどうかをウェブブラウザーから無償で確認できるサービス。TCPポート445番のほか、脆弱性「CVE-2016-7836」を悪用する「SKYSEA Client View」の攻撃耐性や、インターネットからの直接接続を許可すべきではない22番（SSH）、23番（TELNET）、139番（NETBIOS）、3389番（RDP）、5900番（VNC）のTCPポートについても診断を行う。