【直ちに対策を】Windows・ネットワークプリンタ
2021.07.06

Microsoft社は7月1日(現地時間)、Windows製品 の「Windows Print Spooler」に関する脆弱性を公表しました(CVE-2021-34527)。

「Windows Print Spooler」は印刷スプーラと呼ばれる印刷データをプールしておく仕組みで、プリンタやプリントサーバーに複数の印刷処理が要求さらた際、これらの印刷タスク(印刷データ)をハードディスクなどに一時的に保存してから順次プリントしていくもので、社内のネットワークプリンタなどで印刷スプーラの機能が使われています。

しかし、この「Windows Print Spooler」の脆弱性をついて、第三者が特権ファイルを不適切に操作することで、システム権限により任意のコードを実行するなど、様々な被害が発生する恐れがあります。

【注意が必要なプリンタとは】
企業の社内LANシステムはもとより、一般家庭でも複数のパソコンでプリンタを共有するなど、ネットワークを通じてプリンタに接続されている場合は注意が必要です。

ただし、無線LANを一切使わず、外部からのアクセスも行っていない完全ローカルなネットワークの場合や、パソコンがプリンタとLANケーブルなどで有線接続(ローカル接続)している場合は、今回の脆弱性による危険はありません。


【当面の対応方法】
「Windows Print Spooler」の実証コードはGitHubなどで公開されており、悪用された事実もあるとのことで、Microsoft社や各セキュリティ専門機関は「Windows Print Spooler」のグループポリシーでインバウンドリモート印刷を無効化するか、印刷スプールそのものを無効にするよう求めています。
 ➡ Microsoft セキュリティ情報

現時点で修正パッチが公開されたとの情報はありませんので、Microsoft社より修正プログラムが配布されるまでの間は下記の対応策を取るか、特定グループに属するユーザを制限するといった緩和策を講じるなどの対策が必要です。


【Print Spooler リモート印刷の無効化】
リモート印刷を無効化してリモート攻撃を防ぐ方法で、Windows 10 Proの場合、「gpedit.msc」ファイルを実行するなどしてグループポリシーエディタを起動し、「コンピュータの構成」から「プリンター」の順で「印刷スプーラーがクライアントからの接続を許可する」を無効化します。

この方法を実行すると、プリントサーバとしては機能しなくなりますが、ローカルからの印刷は可能となります。

なお、Windows 10 homeではそもそも管理機能がないため、グループポリシーエディタは存在しません。


【Print Spoolerの停止方法】
「Windows Print Spooler」を停止して無効化する事で、リモート攻撃による被害を防ぐ事ができます。
ただし、ローカル環境も含めて一切の印刷機能が利用できなくなります。

1)「Win 」キーと「 E」キーを押すなどして、エクスプローラー(ファイル管理ツール)を開きます。

エクスプローラーの画面左側にある「PC」アイコンを右クリックします。


2)「管理(G)」をクリックします。


3)画面左側の「サービスとアプリケーション」をクリックします。

4)画面中央に表示される「サービス」をダブルクリックします。

5)サービス一覧の表示から、画面下へスクロールして「Print Spooler」を選択します。

6)「Print Spooler」を右クリックして「プロパティ」をクリックします。

7)プロパティ画面のサービスの状態を確認し、実行中であれば「停止」をクリックします。
※サービスの状態が停止中の場合はそのまま「OK」を押して終了します。

8)サービスの状態が停止になったことを確認し、「OK」をクリックして終了します。



どのような対応を取るかはPC及びネットワーク環境によりますが、複数のパソコンを集中管理している場合は管理者の指示に従い、情報漏洩などのリスクに備えてください。



新着情報一覧

▲ページのトップへ