
2026年5月26日、Samba TeamはSamba 4.22.10、4.23.8、4.24.3のセキュリティリリースを公開し、複数の脆弱性を修正しました。このうちCVE-2026-4480とCVE-2026-4408はいずれもCVSS 10.0と評価されたリモートコード実行脆弱性であり、特定の設定条件下では、認証されていないリモート攻撃者がSambaサーバー上で任意のコマンドを実行できる危険性があります。
Sambaは、LinuxおよびUnix系システムでWindowsファイル共有、プリンター共有、ドメインコントローラー機能を提供するオープンソースソフトウェアです。企業の内部ネットワーク、NAS、ファイルサーバー、バックアップサーバー、レガシーシステムなど、さまざまな環境で使用されており、SMBプロトコルを通じてWindowsベースのインフラとの相互運用性を提供します。
今回の脆弱性は、単にSambaを最新バージョンへアップデートすべきという問題にとどまりません。Sambaはファイル共有、認証、ドメイン環境に直接接続されるインフラ構成要素です。特にSMB 445ポートがインターネットに公開されている場合、攻撃者は外部からSambaベースのサービスを識別し、脆弱な設定の組み合わせを探索できます。したがって、実際のセキュリティリスクは、脆弱性の有無だけでなく、当該Sambaサービスが外部からアクセス可能な状態であるかどうかによって大きく変わります。
本記事では、CVE-2026-4480とCVE-2026-4408の技術的構造と侵害フローを分析し、インターネットに公開されたSambaサービスがどのような攻撃対象領域を形成するのかを考察します。
Samba脆弱性の概要

| 項目 | 内容 |
|---|---|
| 影響を受ける製品 | Samba |
| 主な脆弱性 | CVE-2026-4480, CVE-2026-4408 |
| 脆弱性の種類 | リモートコード実行 |
| CVSSスコア | 10.0(Critical) |
| 影響を受けるバージョン | すべてのSambaバージョン(特定の構成条件下で影響) |
| パッチバージョン | 4.22.10, 4.23.8, 4.24.3 |
| 主な攻撃条件 | 特定のsmb.conf設定、Samba印刷サブシステムまたはDCE/RPC SAMRサーバー構成 |
| 主なリスク | 認証なしのリモートコマンド実行、サーバー掌握、内部ネットワークへの拡散 |
今回のセキュリティアップデートで特に注目すべき脆弱性は、CVE-2026-4480とCVE-2026-4408です。両脆弱性はいずれも、ユーザーが制御可能な入力値がシェルメタ文字のエスケープなしにシステムコマンドまたはスクリプトへ渡される構造で発生します。ただし、すべてのSambaサーバーが同一条件で脆弱になるわけではありません。実際の影響有無は、Sambaの設定と外部アクセス可能性をあわせて確認する必要があります。
CVE-2026-4480:Samba印刷サブシステムのコマンドインジェクション脆弱性
CVE-2026-4480は、Samba印刷サブシステムで発生するリモートコード実行脆弱性です。この脆弱性は、Samba print serverがprint command 設定で%J 置換文字を使用している場合に影響を受ける可能性があります。
Sambaは印刷ジョブを処理する過程で、クライアントが制御可能なjob description文字列をprint commandへ渡します。このとき%J 置換文字が使用され、入力値に含まれるシェルメタ文字が適切にエスケープされない場合、攻撃者は細工された印刷ジョブ説明を通じてコマンドインジェクションを試行できます。その結果、脆弱な設定を持つSambaサーバーではリモートコマンド実行につながる可能性があります。
この脆弱性の本質は、Sambaのバージョンそのものよりも、print commandの設定方式にあります。特に、外部からアクセス可能なSMBサービスと脆弱な印刷設定が組み合わさると、ファイル共有またはプリンター共有を目的として運用されていたSambaサーバーが、リモートコード実行攻撃の侵入口へ転換される可能性があります。
ただし、printing = cupsまたはprinting = iprintを使用している環境、あるいはprint command設定に%J 置換文字が含まれていない環境は、本脆弱性の直接的な影響を受けません。しかし、運用環境では古いSamba設定がそのまま維持されていたり、プリンター連携のために過去に追加されたコマンドベースの設定が残っていたりする場合があります。そのため、実際の影響有無はバージョン確認だけでは判断しにくく、smb.conf設定の点検が必要です。
CVE-2026-4408:DCE/RPC SAMRサーバーのパスワード検証スクリプト脆弱性
CVE-2026-4408は、Samba DCE/RPC SAMRサーバーで発生するリモートコード実行脆弱性です。この脆弱性は、Samba file serverまたはclassic non-AD domain controller環境でsamba-dcerpcdがシステムサービスとして実行され、check password script設定に %u 置換文字が使用されている場合に発生する可能性があります。
Sambaはパスワード変更またはリセット要求を処理する過程で、クライアントが提供したユーザー名をcheck password scriptへ渡す場合があります。このとき%u 置換文字が使用され、ユーザー入力値に対するシェルメタ文字処理が十分でない場合、攻撃者は細工されたユーザー名を通じてリモートコマンド実行を試行できます。
この脆弱性は、一般的なデフォルト構成よりも、特定の非標準設定でリスクが高まります。例えば、 rpc start on demand helpersがデフォルト値ではなくnoに設定され、samba-dcerpcdがシステムサービスとして動作している環境が主な影響対象となります。また、Active Directory Domain Controllerはこの方式で %u 置換を展開しないため、直接的な影響対象から除外されます。
しかし、企業環境ではSambaが単なるファイルサーバーにとどまらず、レガシー認証、パスワードポリシー、ドメイン連携、バックアップサーバーのアクセス制御に使用されるケースがあります。このような環境で脆弱なスクリプト設定が残っている場合、攻撃者はパスワード検証フローを悪用して細工された入力値を渡し、サーバー権限の取得を試みる可能性があります。
攻撃フロー:外部公開SMBサービスから内部拡散まで

今回のSamba脆弱性における実際のリスクは、「脆弱な設定」と「外部アクセス可能性」が組み合わさることで拡大します。Sambaは本来、内部ネットワークで使用されることが多いサービスです。しかし、誤ったファイアウォールポリシー、NASのリモートアクセス設定、クラウドサーバー構成ミス、VPNなしで公開されたファイル共有環境などにより、SMB 445ポートがインターネットに公開される事例が存在します。
想定される攻撃フローは以下のとおりです。
- インターネットに公開されたSMB 445ポートをスキャン
- Samba応答バナー、SMBプロトコル特性、サービスフィンガープリントをもとにSamba資産を識別
- Sambaバージョンまたは特定設定の可能性をもとに攻撃対象を優先順位付け
- CVE-2026-4480に関連する印刷サブシステムおよび
print command設定の悪用可能性を確認 - CVE-2026-4408に関連するDCE/RPC SAMRサービスおよびパスワード検証スクリプト設定の悪用可能性を確認
- リモートコマンド実行に成功した場合、サーバー権限を取得
- 内部ファイル、アカウント情報、共有ディレクトリ、バックアップデータへアクセス
- 内部ネットワーク移動、認証情報窃取、ランサムウェア配布、データ流出へ拡大
このように、外部に公開されたSambaサービスは単なるポート開放状態にとどまらず、脆弱な設定と組み合わさることで高リスクの攻撃対象領域となる可能性があります。
Criminal IP IT資産検索で確認したSamba公開資産
Sambaは主にSMB/CIFSベースのファイル共有サービスを提供し、SMBの代表的なポートはTCP 445番です。そのため、インターネット上に公開されたSambaベースのSMBサービスを確認するには、Criminal IP IT資産検索で以下のクエリを使用できます。

Criminal IP検索クエリ: product: “Samba” port: 445
Criminal IP IT資産検索でSamba 445ポート公開資産を検索した結果、2026年6月時点で63,055件の公開資産が確認されました。この数値は、SambaベースのSMBサービスが依然として大規模にインターネットへ公開されていることを示しています。SMB 445ポートはWindowsファイル共有およびSambaベースのファイル共有で使用される主要ポートであり、一般的には外部インターネットへ直接公開する必要性が低いサービスです。
ただし、今回の脆弱性はWindows SMBサービス全体ではなく、Sambaソフトウェアを対象としています。実際の影響有無は、オペレーティングシステム自体よりも、インストールされているSambaバージョンと設定条件によって変わります。特にCVE-2026-4480の場合、print command 設定で%J 置換文字を使用しているかどうかが主な判断基準となります。
それでも、6万件以上のSamba資産が外部から識別可能な状態であるという点は、Samba脆弱性が公開されるたびに、攻撃者がスキャンをもとに脆弱な可能性のある対象を選別できることを意味します。
また、国別分布でもSamba公開資産の偏りが確認されます。Criminal IP検索結果を基準とすると、上位国はパキスタン32,466件、米国4,446件、ポルトガル3,472件、ドイツ2,770件、レユニオン2,156件の順で確認され、日本は1,500件で6位に位置しています。このように特定国に公開資産が集中している点は、Sambaベースのファイル共有サービスが一部ネットワーク環境で依然として外部アクセス可能な形で運用されていることを示しています。

公開が確認されたインスタンスの一部を詳しく見ると、単に445ポートが開いているという事実だけでなく、Sambaバージョン、SMBプロトコル情報、NetBIOSコンピューター名、ドメイン名、共有情報などもあわせて確認できます。例えば、一部の資産ではSamba 4.3.11-Ubuntuのような古いSamba応答、SMBv1対応有無、IPC$およびprint$共有情報が露出しています。このような情報が直ちに脆弱性に該当するとはいえません。しかし、攻撃者の視点では、外部に公開されたSambaサーバーの運用環境、レガシープロトコルの使用有無、プリンター共有関連構成の可能性、内部ドメイン情報を推定する手がかりになり得ます。これらの応答情報は、Sambaベースのファイル共有サービスが外部からどのように識別されるのかを把握する参考指標として活用できます。
外部公開Samba資産のリスク
Sambaは、内部ファイル共有、認証フロー、ドメイン環境と密接に接続される場合が多いサービスです。そのため、外部に公開されたSambaサーバーが侵害された場合、共有フォルダー、ユーザーアカウント、内部ホスト名、バックアップファイル、設定ファイルなどへアクセスが拡大する可能性があります。
外部に公開されたSamba資産で特に注意すべき点は以下のとおりです。
- SMB 445ポートは、攻撃者にとってなじみ深いスキャン対象です。過去の大規模マルウェアおよびランサムウェア攻撃でも、SMBサービスは初期侵入または内部拡散経路として繰り返し悪用されてきました。そのため、SMB 445ポートがインターネットに公開された環境では、脆弱性公開後に大規模スキャンと対象選別が迅速に行われる可能性があります。
- Sambaは、長期間運用されるレガシーシステムに残っている場合が多いサービスです。NAS、プリンターサーバー、バックアップサーバー、社内ファイルサーバーなどは、業務継続性の理由からすぐに置き換えることが難しく、運用停止への懸念によりセキュリティパッチの適用が遅れるケースもあります。このように長期間維持されるファイル共有インフラは、新たな脆弱性が公開されるたびに繰り返し点検対象となります。
- 今回の脆弱性は、単純なバージョン確認だけでは影響有無を判断しにくい点にも注意が必要です。CVE-2026-4480とCVE-2026-4408はいずれも、特定の構成条件下でリスクが高まる設定依存型の脆弱性です。実際の影響有無を確認するには、Sambaバージョンだけでなく、
smb.conf設定、印刷サブシステム構成、DCE/RPC実行方式、パスワード検証スクリプトの使用有無まであわせて点検する必要があります。
外部公開Samba資産のリスクは、「Sambaを使用しているかどうか」そのものよりも、外部アクセス可能性、古い運用環境、脆弱な設定の組み合わせが同時に存在する場合に高まります。したがって、組織はインターネットから識別可能なSambaサービスを優先的に確認し、パッチ状態と実際の設定をあわせて検討する必要があります。
対応および点検方法
Samba運用者はまず、公式セキュリティリリースであるSamba 4.22.10、4.23.8、4.24.3、またはそれ以降のバージョンへアップデートする必要があります。パッチを直ちに適用することが難しい環境では、脆弱な設定を削除するか、外部アクセスを制限する緩和策を優先的に適用する必要があります。
運用環境では、以下の項目を優先的に点検する必要があります。
- Sambaバージョンが4.22.10、4.23.8、4.24.3以上であるかを確認
- SMB 445ポートがインターネットに直接公開されているかを確認
- ファイアウォール、セキュリティグループ、ポートフォワーディング設定で外部アクセスが許可されているかを確認
print command設定に%J置換文字が含まれているかを確認check password script設定に%u置換文字が含まれているかを確認guestアクセス許可有無および共有ディレクトリ権限を確認- プリンター共有機能および
print$共有の使用有無を確認 - DCE/RPC関連設定および
samba-dcerpcd実行方式を確認 - NAS、バックアップサーバー、レガシーファイルサーバーでのSamba使用有無およびパッチ状態を確認
組織内部ではSambaサーバーを内部ネットワーク専用だと認識していても、実際にはクラウドセキュリティグループ、ポートフォワーディング、一時的なテストサーバー、NASリモートアクセス設定により、外部からアクセス可能な状態になっている場合があります。
FAQ
Q1. すべてのSambaサーバーがCVE-2026-4480とCVE-2026-4408に脆弱ですか?
いいえ。両脆弱性は特定の設定条件下で悪用可能性が高まります。CVE-2026-4480は、print command に%J 置換文字が含まれる印刷サーバー構成が主な条件です。CVE-2026-4408は、check password scriptに %u 置換文字が含まれ、samba-dcerpcdが特定の方式で実行される環境が主な影響対象となります。そのため、Sambaバージョンだけでなく、実際のsmb.conf設定まであわせて確認する必要があります。
Q2. SMB 445ポートが開いていれば、すべて脆弱ですか?
SMB 445ポートが開いているという事実だけで、当該資産が直ちに脆弱であるとは判断できません。しかし、SMBは一般的にインターネットへ直接公開する必要性が低いサービスです。外部からアクセス可能な場合、攻撃者がSambaバージョン、サービスバナー、共有情報、認証設定、プリンター共有有無などを追加で確認できるため、優先的な点検対象に含めることが望まれます。
Q3. パッチだけ適用すれば十分ですか?
パッチ適用は必須ですが、それだけでは十分でない場合があります。今回の脆弱性は特定の設定条件と密接に関連しているため、print command、 check password script、DCE/RPC実行方式、プリンター共有構成などをあわせて点検する必要があります。また、SMB 445ポートがインターネットに公開されている場合は、外部アクセスを遮断するか、VPN、IP許可リスト、ファイアウォールポリシーなどでアクセス制御を強化する必要があります。
結論
CVE-2026-4480とCVE-2026-4408は、Sambaの特定設定条件下でリモートコマンド実行につながる可能性がある高リスク脆弱性です。両脆弱性はいずれもCVSS 10.0と評価されていますが、実際の攻撃可能性は単純なバージョン情報だけでは判断しにくい側面があります。print command、 check password script、DCE/RPC実行方式、プリンター共有構成など、実際の運用設定をあわせて確認する必要があります。
今回の問題で特に注意すべき点は、Sambaサービスの外部公開有無です。Sambaは内部ファイル共有、認証フロー、バックアップサーバー、NAS、レガシーシステムと接続されるケースが多くあります。そのため、SMB 445ポートがインターネットに公開されている場合、攻撃者はサービスバナー、SMBプロトコル応答、共有情報などをもとに攻撃対象を選別できます。
Samba脆弱性への対応は、セキュリティリリースの適用だけで完了するものではありません。パッチバージョンへアップデートすると同時に、外部に公開されたSMB 445ポート、実際のsmb.conf設定、プリンター共有およびDCE/RPC構成、共有ディレクトリ権限をあわせて点検する必要があります。不要に公開されたSambaサービスは遮断し、外部接続が必要な場合はVPN、IP許可リスト、ファイアウォールポリシーなどを通じてアクセス範囲を制限することが望まれます。
なお、関連して SonicWall SSL-VPN MFAバイパス脆弱性:パッチ完了と保護完了の間に残る攻撃対象領域 記事もご参考いただけます。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), Daily CyberSecurity(https://securityonline.info/critical-samba-vulnerabilities-cvss-10)

