A hand holding an open file folder with a speech bubble labeled SMB above it, all set against a teal background.

SMB(サーバーメッセージブロック)は、同じネットワーク上のユーザー間でファイルの共有、ストレージやアプリケーションといったリソースへのアクセス、および通信を可能にするプロトコルです。リソースの共有を効率化、簡素化するため、ビジネス環境でも家庭でも広く利用されています。 

SMBという専門用語は難しく見えるかもしれませんが、ネットワーク通信において重要な役割を果たすため、実際には理解しやすく、習得する価値が高いものです。以下では、SMBの仕組み、各バージョン、一般的な用途、およびプロトコルを安全に使用するためのヒントをご説明します。 

目次

    SMBプロトコルとはなんでしょうか?

    サーバーメッセージブロックを説明するインフォグラフィック。

    SMBは、同じネットワーク上のリモートコンピューターおよびサーバーとの通信を可能にするネットワークプロトコルです。ファイルの共有、プリンターの使用、およびその他のリソースへのアクセスに広く活用されています。 

    当初、1980年代にIBM(International Business Machines Corporation)によって開発された SMBは、その後Microsoftによって改良・強化され、Windowsの標準ファイル共有プロトコルとして採用されました。それ以来、様々な機能と改良点を備えた複数のSMBバージョンが公開されています。 

    当初、このプロトコルは主にWindowsコンピューター間の接続に利用されていました。 現在は、macOSやLinuxを含むさまざまなオペレーティングシステムも、リソース共有機能としてSMBを採用しています。つまり、異なるオペレーティングシステムを搭載したデバイス間で、このプロトコルを活用してリソースを共有することが可能です。  

    SMBの動作の仕組み

    SMBは要求と応答に基づくプロトコルです。このセットアップでは、クライアント(ユーザーのコンピューターなど)がサーバーにSMB要求を送信し、サーバーがSMB応答を返信します。以下に、その詳細な動作プロセスをご説明いたします。

    1. 接続開始要求: クライアントはサーバーにSMB要求を送信し、通信を確立します。
    2. 認証:サーバーはこの要求を受け取り、クライアントに認証を要求します。クライアントは資格情報を提供して認証を行います。 
    3. 接続の確立:資格情報が正しい場合、双方向の通信チャネルが確立されます。
    4. リソース要求: クライアントは、サーバーと通信を行い、共有リソースへのアクセスを要求できます。サーバーはアクセス権を確認し、要求を処理します。
    5. データ送信:サーバーは要求されたデータを読み出し、クライアントに送信します。クライアントはデータを受信して利用します。 

    SMBが実際の業務環境でどのように動作するか、具体例で説明いたします。小規模なオフィスネットワーク環境で、Andrew、Julie、Taylorとの間でファイルを共有する必要がある場合を想定してみましょう。これを実現するには、SMBを使用してコンピューター上に共有フォルダを構築します。 

    この構成により、3名は自分のコンピューターから、ローカル環境と同様に、そのフォルダに直接アクセスできます。共有フォルダ内のファイルの閲覧、編集、保存が可能となり、業務の効率化と協働作業の促進が実現します。 

    さらに、SMBではアクセス権限を設定・管理することが可能です。例えば、AndrewとJulieに完全なアクセス権を付与し、ファイルの閲覧、編集、削除、新規作成の全権限を設定することが可能です。一方、Taylorには読み取り専用の権限のみを付与し、フォルダの閲覧以外の操作を制限することが可能です。このように、フォルダに対するユーザーごとの操作権限を詳細に設定・管理することが可能です。

    SMBプロトコルの各バージョンとはなんでしょうか?

    SMBの各バージョンは、長年にわたって開発・公開されたプロトコルの異なる実装であり、機能性、性能、およびセキュリティの向上を目的として継続的に改良が重ねられています。 これらのバージョンについて詳しくご説明いたします。 

    異なる3つのサーバーメッセージブロックの方言を示すインフォグラフィック。

    SMB 1.0 / CIFS(Common Internet File System)

    IBMは1980年代半ばにSMB 1.0を開発し、SMBプロトコルの最初の標準的なバージョンとなりました。これにより、LAN(ローカルエリアネットワーク)内での基本的なファイル共有、プリンター共有、およびリソース共有が実現しました。しかし、十分なセキュリティ機能を備えておらず、セキュリティ上の脆弱性が指摘され、その一部はマルウェア攻撃に悪用される原因となりました。  

    その後、MicrosoftはSMB 1.0を拡張したCIFSをWindows 95で実装しました。SMB 1.0とは異なり、CIFSはインターネット経由のファイル共有に対応するよう設計され、LAN環境に限定されない仕様となりました。大容量ファイルの対応、処理性能の向上、およびクライアントサーバー間通信の信頼性向上が実現しました。 

    現在、SMB 1.0とCIFSはいずれも旧式であり、使用は推奨されていません。 

    SMB 2.0および2.1

    Windows Vistaで導入されたSMB 2.0により、プロトコルの処理効率と性能が大幅に改善されました。 たとえば、通信に必要なコマンドとサブコマンドの数を削減することで通信量を抑制し、応答速度と拡張性が向上しました。また、SMB 2.0では、シンボリックリンク機能が追加され、システムの信頼性が向上しました。 

    Windows 7と同時に公開されたSMB 2.1は、クライアントとサーバー間のデータ転送効率を高めるため、より大容量のMTU(最大伝送単位)に対応し、通信速度を向上させました。さらに、クライアントサイドの機会的ロック(opportunistic lock)機能を導入し、ファイルキャッシュの効率化とサーバー通信の最適化を実現しました。 

    SMB 3.0、3.02、および3.1.1

    Windows 8と同時にリリースされたSMB 3.0は、セキュリティと処理性能の両面で大幅な改良を実現しました。特筆すべき点として、SMB 3.0は通信経路全体の暗号化を実装し、ネットワーク上のデータを不正アクセスから保護する最初のバージョンとなりました。その他の改良点として、ファイル共有の継続性を確保する透過的フェイルオーバー機能が追加されました。 

    Windows 8.1と同時に公開されたSMB 3.02は、新機能の追加ではなく、システムの安定性、互換性、処理性能の向上に重点を置きました。重要な改良点として、セキュリティ強化のためSMB 1.0を完全に無効化できる管理ツールの機能向上が挙げられます。  

    最新のSMB 3.1.1はWindows 10と同時にリリースされました。このバージョンでは、MitM(中間者)攻撃から保護するため、認証前の整合性検証によりセキュリティを向上させました。また、AES-128 GCMとAES-128 CCMに対応することで、暗号化機能を強化しました。セキュリティ以外にも、SMB 3.1.1ではデータ転送効率の向上と遅延時間の削減のため、複数の最適化が実施されました。 

    SMBの一般的な用途

    SMBは様々なオペレーティングシステムに対応し、多様なファイル形式とサイズを処理でき、操作が簡単なため、リソース共有ツールとして広く採用されています。主な用途を説明します。 

    サーバーメッセージブロックの一般的な使用法を3つ列挙するインフォグラフィック。

    ファイル共有機能

    SMBは、同じネットワーク上の利用者と機器間でファイルを共有するために広く活用され、サーバー上のファイルにローカル環境と同様にアクセスできます。業務報告書、販売在庫データ、またはフォトアルバムなど、SMBなら同一ネットワーク上で容易にファイルのアクセスと管理が可能です。 

    また、SMBではアクセス権限を設定でき、特定のファイルへの閲覧・編集権限を詳細に管理することで、データの安全性を確保できます。 

    プリンター共有機能

    また、SMBによりネットワーク上でプリンターを共有し、複数の端末と利用者が1台のプリンターを利用できます。オフィスでは、従業員は自席から共有スペースの共用プリンターに印刷を指示できます。 

    この構成により、機器導入と保守管理のコストを削減しながら、業務効率も向上できます。個人ごとにプリンターを購入するのではなく、複数の社員で1台のプリンターを利用できます。異なる部署やフロアの社員も、プリンター設置場所に行くことなく、共用プリンターに接続して印刷できます。 

    ネットワークリソース活用機能

    SMBにより、利用者は共有ストレージやアプリケーション、サービスなどのネットワーク資源にローカル環境と同様にアクセスできます。これにより、複数のデバイスとユーザーに散在するデータを一元的に管理し、効率的なアクセスと運用が可能になります。 

    データを一元化することで、バックアップ、アップデート、セキュリティ対策をシステム全体に統一的に実施できます。また、必要なユーザーへのアクセス権を提供しつつ、適切な権限設定により認可されたユーザーとデバイスのみがリソースを利用できるよう制御し、協働作業を効率化します。 

    SMBセキュリティに関する注意事項

    SMBは十分なセキュリティを備えていると評価され、企業環境と家庭向けネットワークで幅広く採用されています。しかし、他のセキュリティシステムと同様に絶対的な安全性はなく、新たなセキュリティ脅威に対して脆弱性が発見される可能性があります。過去には、SMBの脆弱性が発見・悪用され、重大なセキュリティ事故に発展したケースがあります。

    重大な脆弱性

    SMBの脆弱性はこれまでに複数発見され、悪用されてきました:

    • EternalBlue:SMBv1のこの脆弱性は、米国国家安全保障局(NSA)によって発見され、2017年にハッキンググループShadow Brokersによって公開されました。攻撃者はこの脆弱性を悪用し、ユーザーに検知されることなく遠隔から不正なコードを実行し、対象コンピューターを掌握することが可能です。 
    • EternalRomance:この脆弱性も、Shadow Brokersによって公開されました。攻撃者は、細工されたパケットを未パッチのコンピューターに送信し、Windowsシステムを遠隔から制御することが可能です。
    • SMBGhostとSMBleed: この2つの重大な脆弱性は、最新のSMBv3に影響し、リモートからのコード実行や機密性の高いカーネルメモリの抽出に悪用され、組み合わせることでシステムの完全な制御を可能にします。

    重大なセキュリティ事故 

    SMBの脆弱性を標的とした大規模なサイバー攻撃が続発しています。代表的な事例を説明します。 

    • WannaCryランサムウェア(2017年):この攻撃はEternalBlue SMBv1の脆弱性を利用し、ユーザーのファイルを暗号化してビットコインでの身代金を要求しました。最終的に150か国において約200,000台のシステムに被害が及びました。
    • Petya(2016年):当初は不正なメールで拡散し、後続の亜種はEternalBlue SMBの脆弱性を利用してファイルを暗号化し身代金を要求しました。さらにこのプロトコルを使用して、感染端末から同一ネットワーク上の他の端末へ横方向に感染を拡大しました。
    • NotPetya(2017年):NotPetyaは、金銭目的だけでなく最大限のシステム破壊を目的として設計され、データを暗号化・破壊し、身代金支払後も復旧が事実上不可能でした。 

    SMBを標的とする攻撃手法

    ランサムウェア以外にも、攻撃者はSMBプロトコルに対して様々な手法で攻撃を仕掛けてきます。代表的な攻撃手法を説明します。 

    サーバーメッセージブロックを狙った4つの異なる攻撃タイプを列挙するインフォグラフィック。

    ブルートフォース攻撃

    これは、攻撃者が共有SMBリソースへの不正アクセスを試みる際、自動化ツールを使用して体系的にユーザー名とパスワードの組み合わせを総当たりで試行する手法です。この攻撃が成功すると、機密情報の搾取とシステムの不正改ざんにつながる可能性があります。さらに、同一ネットワーク上の他のシステムへの侵害が拡大するリスクも存在します。 

    MitM攻撃

    MitM攻撃は、攻撃者が通信当事者の気付かぬ間に通信を傍受し、内容を改ざんする手法です。SMBの場合、攻撃者はクライアントとサーバーの通信を仲介して制御を奪取する可能性があります。これにより、認証情報の搾取、機密文書への不正アクセス、セッションの乗っ取り、通信データの改ざんが発生する可能性があります。 

    DDoS攻撃

    DDoS(分散型サービス拒否)攻撃は、SMBサービスに大規模な不正要求を送信し、共有リソースの利用を妨害します。この攻撃の目的は、業務の中断、システム停止の誘発、別の不正行為を隠蔽するための囮など、多岐にわたります。 

    SMBとVPN

    SMBプロトコルにはセキュリティ上の脆弱性が存在するため、そのリスクを理解し軽減する対策が極めて重要です。最も有効な対策の1つがVPNの活用です。– Surfsharkなどの 信頼性の高いVPN は、重要な追加のセキュリティ層を提供します。 

    通信データの暗号化 

    – Surfsharkは、SMB通信を含むすべての通信データをエンドツーエンドで暗号化します。認証情報、機密業務ファイル、システムバックアップなどの重要な情報は、暗号化により復号鍵がなければ解読不可能になります。データを傍受されても、復号鍵がなければ内容の閲覧や改ざんは不可能です。 

    リモートアクセスの保護

    社員がリモートでSMBリソースに接続すると、 公衆Wi-Fi利用時のセキュリティ上の脅威など、複数のリスクが発生します。– Surfsharkは、暗号化通信路を確立し、外部からの脅威を遮断してデータの盗聴や改ざんを防止します。 

    マルウェアからの保護

    職場や家庭でのVPN活用 は、SMBの脆弱性を狙った攻撃による被害を軽減しますが、攻撃の予防も同様に重要です。– SurfsharkのCleanWebは、広告と不正なリンクを遮断し、WannaCryなどのマルウェア感染リスクを低減します。また、- Surfshark Antivirusは、システムからマルウェアを検出・駆除し、SMBの脆弱性対策を強化します。

    SMB利用時のセキュリティ対策

    業務ファイルの共有や社内プリンターの使用、サーバー上のデータベース利用まで、SMBは効率的なリソース共有に必須です。しかし、セキュリティ上の脆弱性と重大な攻撃事例の履歴から、リスクへの懸念があります。 

    SMBのメリットを安全に活用するため、- Surfsharkで通信と共有リソースを確実に暗号化しましょう。さらなる保護強化には、Surfshark Antivirusを含むSurfshark Oneにアップデートし、SMBの脆弱性を標的とするマルウェアからシステムを防御します。 

    セキュアなSMB環境で業務効率化を実現
    VPNで多層的な保護を実現
    - Surfshark Oneを今すぐ入手
    Surfshark

    よくあるご質問

    SMBはどのような場合に使用されますか?

    SMBプロトコルは、ファイル、プリンター、およびストレージやアプリケーションなどのネットワーク資源を、同一ネットワーク上の機器間で共有するために活用されます。共有リソースにローカル環境と同様に円滑なアクセスを実現します。 

    SMBの具体的な利用例を教えてください。

    SMBプロトコルの代表的な例として、企業サーバー上の共有フォルダを通じて、プロジェクトメンバーが自身の端末からファイルの閲覧や編集を行える環境構築が挙げられます。これにより、チーム全員が同じ文書とリソースで作業できるため、協働作業の流れが効率化されます。 

    Microsoft SMBとは何の略ですか?

    Microsoft SMBはサーバーメッセージブロック(Server Message Block)の略です。IBMが最初に開発したこのネットワークプロトコルは、Windowsで幅広く活用されていることから、現在ではMicrosoftと強く結びついています。