- About Trend Micro
- プレスリリース
- オープンソースソフトウェア「Samba」の深刻な脆弱性に注意
オープンソースソフトウェア「Samba」の深刻な脆弱性に注意
~当社が運営する脆弱性発見コミュニティ「ZDI」経由で本脆弱性を報告~
2022年2月4日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、1月31日(米国時間)に開発元より公開された、UNIX系OS向けオープンソースソフトウェア「Samba(サンバ)」のリモートコード実行が可能な深刻な脆弱性(CVE-2021-44142)について、注意喚起を行うとともに、当社の運営する脆弱性発見コミュニティ「Zero Day Initiative(ゼロデイイニシアティブ。以下、ZDI)」が、本脆弱性を開発元に事前に報告し、開発元の修正プログラム開発につながったことをお知らせします。
詳細はこちら
◆Sambaの概要と本脆弱性について
Sambaは、UNIX系OS※1を搭載したコンピュータを、Windowsネットワーク上でファイルサーバ等の機能を持たせるために利用されるオープンソースソフトウェアです。多くの法人組織のシステムや家電製品・IoT(Internet of Things)機器などの消費者向け端末などに利用されています。
今回公開された脆弱性(CVE-2021-44142)※2が悪用された場合、サイバー攻撃者がインターネット経由で脆弱性を抱えたコンピュータに対して任意のコードを実行できてしまう可能性があります。情報システムの脆弱性に関する影響度を図る指標の1つ、共通脆弱性評価システム CVSS※3では9.9のスコアが与えられ、重大な脆弱性と認識されています。
現時点で、当社では本脆弱性を悪用した攻撃は確認していないものの、過去にはWindowsのSMBサービスの脆弱性を抱えたコンピュータが設定ミス等でインターネット上に露出しており、ランサムウェア「WannaCry(ワナクライ)」の攻撃を受けた事例があります。そのため、攻撃を防ぐために、脆弱性が存在するバージョンのSambaを利用しているユーザは、早期の修正プログラム(パッチ)適用が求められます。早期の修正プログラム適用が難しい場合は、設定変更による緩和策を取ることや、脆弱性を悪用する攻撃を暫時的に防ぐ「仮想パッチ」やIPS(Intrusion Prevention System)などのセキュリティ対策も含めて検討することが必要です。
また、2021年12月に公開されたApache Log4jの脆弱性「Log4Shell」(CVE-2021-44228)※4や本脆弱性は、オープンソースソフトウェアに起因するものであり、法人組織は改めて自社が利用するオープンソースソフトウェアを棚卸し、ソフトウェアサプライチェーンリスクの観点から脆弱性の管理を徹底することを推奨します。
※1 Linux、Solaris、BSD、macOS等が代表的なものとして挙げられます。
※2 開発元の情報。
※3 Common Vulnerability Scoring System。
※4 Apache Log4jの脆弱性「Log4Shell」(CVE-2021-44228)
◆今回の脆弱性発見の経緯について
本脆弱性は、トレンドマイクロの脆弱性発見コミュニティ「ZDI」が運営するハッキングの世界大会「Pwn2Own Austin 2021」(2021年11月開催)※5において初めて存在が示され、開発元へ情報が提供されました。
※5 開催結果詳細(英語情報)。