MS16-110 適用後 NAS などの共有フォルダーに接続できない問題

---

概要

Windows 8.1/ 10 のコンピューターにマイクロソフト セキュリティ情報 MS16-110 の更新プログラムをインストール後、NAS (ネットワーク接続ハードディスク) などの共有フォルダーにアクセスできなくなる (NAS が見えなくなる、\\servername\share でアクセスできなくなる) などの現象に遭う場合があります。

MS16-110 の更新は以下の修正プログラムに含まれています

• MS16-110: Windows 用のセキュリティ更新プログラムについて (2016 年 9 月 13 日) ※ Windows 8.1 以前用
• Windows 10 用の累積的な更新プログラム (2016 年 9 月 13 日)
• Windows 10 Version 1511 用の累積的な更新プログラム (2016 年 9 月 13 日)
• Windows 10 Version 1607 用の累積的な更新プログラム (2016 年 9 月 13 日)

この現象は MS16-11- に含まれる以下の変更による影響です。

ユーザーが Microsoft Account (https://www.microsoft.com/account) を介して Windows にサインインし、「ゲストまたはパブリック ネットワーク」のファイアウォール プロファイルに接続する際、プライベートではない SMB リソースへの NT LAN Manager (NTLM) シングル サインオン (SSO) 認証を防ぐ (https://technet.microsoft.com/ja-jp/library/security/ms16-110 から引用)

MS16-110 で修正される脆弱性

この変更で修正される脆弱性は「Microsoft の情報漏えいの脆弱性 – CVE-2016-3352」です。この脆弱性がどういう物であるか簡単に説明しましょう。

Windows がネットワーク上の共有リソース (フォルダーやファイル) に SMB プロトコル (Windows 標準のファイルファイル共有プロトコル) でアクセスする際、ユーザーが改めて資格情報 (ユーザー名/パスワード) を入力しなくてもよいように、Windows のサインインに利用しているユーザーの資格情報を自動的に送信します (シングル サイン オン、SSO)。

この動作は便利ですが、自分や自分が所属している組織が管理していないサーバーに接続しようとした場合も資格情報が送信されますから、意図せず第三者に自分の資格情報が知られてしまう危険性があります。CVE-2016-3352 で指摘された脆弱性は、例えば公衆無線 LAN のようなセキュリティで保護されていないネットワークに接続している場合でも、Windows がネットワーク上の共有に SSO で資格情報を送信してしまう、というものです。
攻撃のシナリオとしては、公衆無線 LAN にファイル共有を有効にした罠マシンを接続しておき、囮の Web ページや電子メール内のリンク (file://malserver\share) を標的に踏ませて、送信されてきた資格情報を収集する、というようなものが考えられます

※実際には資格情報として送信されるのはユーザー名と「パスワードのハッシュ (パスワードを一定の方式で変換した文字列)」で、生のパスワードが送信される訳ではありませんが、パスワードの強度 (長さ、複雑さ) によってはハッシュから元のパスワードを容易に復元できてしまう場合があります。

Windows のサインインに利用しているアカウントがローカル アカウントであれば、仮にユーザー名とパスワードを知られても、そのアカウントが利用できるコンピューターに物理的にアクセスする (PC を直接操作する) か、そのアカウントが利用できるコンピューターが接続しているネットワーク 通常はファイアウォールで守られている に侵入しなければ、それを利用することはできません。
しかし Windows のサインインに Microsoft アカウントを利用している場合、その資格情報は、例えば Outlook.com のメールサービスや OneDrive、XBox のオンライン ゲームなど、さまざまなインターネット上のサービスで利用可能ですから、悪意のある第三者にとって利用価値は大いにあります。

MS16-110 による動作変更

この脆弱性を防ぐため、MS16-110 では以下の条件が満たされる場合、自動的な資格情報の送信をしないように修正されています。

• Windows に Microsoft アカウントでサインインしている
• ネットワークの場所 (ファイアウォール プロファイル) が「ゲストまたはパブリック ネットワーク」である
• 共有にアクセスするための別の資格情報が設定されていない (= SSO を行う条件)

そのため、これらの条件の当てはまる場合、MS16-110 を含む更新プログラムのインストール後、NAS などへの接続の際に資格情報が送信されず、アクサスできなくなります。

回避策

回避策はこの条件を満たさないようにすればよいので

1. ローカル アカウントでサインインする
2. ネットワークの場所を「プライベート ネットワーク」 または「社内ネットワーク」に変更する
3. 共有に接続するための資格情報をあらかじめ登録する

のいずれかになります。通常は 2. の方法が簡単で良いでしょう。

2. の手順は以下の通りです (Windows 10 Ver. 1607 の場合)

1. [設定] – [ネットワークとインターネット] を開く
2. 利用している接続に応じて [Wi-Fi] または [イーサネット接続] をクリック
3. 接続している Wi-Fi やネットワーク アダプタをクリック
4. [この PC を検出可能にする] をオンにする

何らかの事情でネットワークを「パブリック ネットワーク」のままにしておきたい場合は、資格情報マネージャー (コントロール パネル\ユーザー アカウント\資格情報マネージャー\Windows 資格情報) で NAS などの共有に対するユーザー名とパスワードを登録します。