「445番ポート」はなぜ攻撃者の標的になるのか あの「WannaCry」でも悪用：狙われる「445番ポート」とは【中編】

「WannaCry」といったランサムウェア攻撃が話題を呼んでいる。それらに悪用されているのは、「445番ポート」に関連する脆弱性だ。具体的に説明する。

[Diana Kelley，TechTarget]

　ファイルやプリンタを共有するプロトコル「Server Message Block」（SMB）が使用する「445番ポート」。このポート番号を狙った攻撃には要注意だ。445番ポートの基礎知識を紹介した前編「『445番ポート』の“謎”　どのような仕組みか？　セキュリティのリスクは？」に続き、中編となる本稿はSMBの脆弱（ぜいじゃく）性を悪用した攻撃の危険性を考える。

併せて読みたいお薦め記事

「TCP/IP」を狙った攻撃への備えは大丈夫か

• いまさら聞けない「TCP/IP」とは？　何が危険なのか？
• シーケンス番号予測攻撃、中間者攻撃、DDoS攻撃とは？　TCP/IPを襲う攻撃

あの「WannaCry」攻撃でも悪用　狙われる445番ポート

　445番ポートは、ファイルやプリンタを共有する役割を果たしているため、常にポートが開いていなければならない。これは、攻撃を招くシステムの穴になる恐れがある。

　実は、SMBを狙った攻撃は少なくない。有名な例は脆弱性「EternalBlue」（CVE-2017-0144）。ランサムウェア（身代金要求型マルウェア）「WannaCry」「NotPetya」の攻撃に悪用された脆弱性だ。SMBの初期バージョン「SMBv1」を使用しているシステムにはこの脆弱性がある。MicrosoftのOS「Windows」の他に、医療機器の一部もSMBv1を使用している。

　EternalBlueは攻撃の入り口や、システムに侵入した後に情報を収集する目的に使われている。攻撃者はEternalBlueを悪用しシステムに入り込めば、任意のコードを実行できる。WannaCryの場合、攻撃者はEternalBlueによって対象システムをマルウェアに感染させた後、マルウェアを拡散させた。EternalBlueはNotPetyaの攻撃にも使用された。

SMBの脆弱性を発見するためのペネトレーションテスト

　ペネトレーションテストは、セキュリティ管理者がSMBの脆弱性を診断する方法だ。問題を発見したら、迅速に対処できる。大半のペネトレーションテストは最初にポートのスキャンを実施し、どのポートが開いていて応答しているかを確認する。企業はポートのスキャンによって、445番ポートを利用できるかどうか、利用できる場合にはSMBv1の脆弱性があるかどうかを把握できる。

　ポートのスキャンを実施するためにさまざまなツールがある。オープンソースソフトウェアの「Nmap」の他、Northwest Performance Softwareの「NetScanTools Pro」やTenable Network Securityの「Nessus」、Qualysのスキャンツールなどが企業から支持を得ている。企業はどの製品を選んでも、定期的にポートのスキャンを実施することが重要だ。

---

　後編は、445番ポートを悪用した攻撃に備える方法を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。