2022年2月4日

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼 CEO：エバ・チェン　東証一部：4704、以下、トレンドマイクロ）は、1月31日（米国時間）に開発元より公開された、UNIX系OS向けオープンソースソフトウェア「Samba（サンバ）」のリモートコード実行が可能な深刻な脆弱性（CVE-2021-44142）について、注意喚起を行うとともに、当社の運営する脆弱性発見コミュニティ「Zero Day Initiative（ゼロデイイニシアティブ。以下、ZDI）」が、本脆弱性を開発元に事前に報告し、開発元の修正プログラム開発につながったことをお知らせします。

詳細はこちら

◆Sambaの概要と本脆弱性について
Sambaは、UNIX系OS^※1を搭載したコンピュータを、Windowsネットワーク上でファイルサーバ等の機能を持たせるために利用されるオープンソースソフトウェアです。多くの法人組織のシステムや家電製品・IoT（Internet of Things）機器などの消費者向け端末などに利用されています。
今回公開された脆弱性（CVE-2021-44142）^※2が悪用された場合、サイバー攻撃者がインターネット経由で脆弱性を抱えたコンピュータに対して任意のコードを実行できてしまう可能性があります。情報システムの脆弱性に関する影響度を図る指標の1つ、共通脆弱性評価システム CVSS^※3では9.9のスコアが与えられ、重大な脆弱性と認識されています。

現時点で、当社では本脆弱性を悪用した攻撃は確認していないものの、過去にはWindowsのSMBサービスの脆弱性を抱えたコンピュータが設定ミス等でインターネット上に露出しており、ランサムウェア「WannaCry（ワナクライ）」の攻撃を受けた事例があります。そのため、攻撃を防ぐために、脆弱性が存在するバージョンのSambaを利用しているユーザは、早期の修正プログラム（パッチ）適用が求められます。早期の修正プログラム適用が難しい場合は、設定変更による緩和策を取ることや、脆弱性を悪用する攻撃を暫時的に防ぐ「仮想パッチ」やIPS（Intrusion Prevention System）などのセキュリティ対策も含めて検討することが必要です。
また、2021年12月に公開されたApache Log4jの脆弱性「Log4Shell」（CVE-2021-44228）^※4や本脆弱性は、オープンソースソフトウェアに起因するものであり、法人組織は改めて自社が利用するオープンソースソフトウェアを棚卸し、ソフトウェアサプライチェーンリスクの観点から脆弱性の管理を徹底することを推奨します。
※1 Linux、Solaris、BSD、macOS等が代表的なものとして挙げられます。
※2 開発元の情報。
※3 Common Vulnerability Scoring System。
※4 Apache Log4jの脆弱性「Log4Shell」（CVE-2021-44228）

◆今回の脆弱性発見の経緯について
本脆弱性は、トレンドマイクロの脆弱性発見コミュニティ「ZDI」が運営するハッキングの世界大会「Pwn2Own Austin 2021」（2021年11月開催）^※5において初めて存在が示され、開発元へ情報が提供されました。
※5 開催結果詳細（英語情報）。

• 本リリースは、2022年2年4日現在の情報をもとに作成されたものです。
• TREND MICRO、ZERO DAY INITIATIVE、およびSecuring Your Connected Worldは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。