Samba Teamは2026年5月26日、Samba 4.24.3、4.23.8、4.22.10をセキュリティリリースとして公開しました。
今回の更新では、CVE-2026-4408、CVE-2026-4480、CVE-2026-2340、CVE-2026-3012、CVE-2026-3238、CVE-2026-1933の6件が修正されています。
特に注意が必要なのは、CVSS 10.0と評価された2件の認証不要リモートコード実行な脆弱性です。CVE-2026-4480はSambaの印刷サブシステム、CVE-2026-4408はSamba DCE/RPC SAMRサーバに関係します。
いずれも特定の設定条件を満たす場合に影響します。全てのSamba環境が同じ危険度で影響を受けるわけではありませんが、Sambaはファイル共有、認証連携、NAS、Linuxサーバ、AD連携環境、複合機・印刷環境で広く利用されるため、情報システム部門はバージョン確認と設定確認を優先して実施する必要があります。
この記事のサマリー
- Samba 4.24.3、4.23.8、4.22.10がセキュリティリリースとして公開されました。
- 修正された脆弱性は6件です。
- CVE-2026-4408とCVE-2026-4480は、CVSS 10.0の認証不要リモートコード実行脆弱性です。
- CVE-2026-4480は、
print commandに%Jを含むSamba印刷サーバが影響を受けます。 - CVE-2026-4408は、
check password scriptに%uを含み、samba-dcerpcdがシステムサービスとして起動する非標準構成のSambaファイルサーバやclassic domain controllerが影響を受けます。 - Active Directory Domain Controllerは、CVE-2026-4408については影響を受けないと説明されています。
- WORM vfs、証明書自動登録GPO、AD DC WINS、reparse point関連の脆弱性も修正されています。
- 対象環境では、Sambaの更新に加え、
smb.conf内の印刷設定、パスワードチェック用スクリプト、WINS、WORM vfs、GPO設定を確認する必要があります。
目次
- 1 何が起きたか
- 2 修正された脆弱性
- 3 CVE-2026-4480:印刷サブシステムの認証不要RCE
- 4 CVE-2026-4408:DCE/RPC SAMRサーバの認証不要RCE
- 5 CVE-2026-3012:証明書自動登録GPOの信頼経路に関する問題
- 6 CVE-2026-3238:AD DC WINSサーバのDoS
- 7 CVE-2026-1933:reparse point操作のアクセスチェック不足
- 8 CVE-2026-2340:WORM vfsで保護ファイルを上書きできる問題
- 9 影響範囲
- 10 すぐに実施すべき対応
- 11 監視で確認すべきポイント
- 12 ファイルサーバ運用で注意すべきポイント
- 13 今後確認すべきこと
- 14 参考情報・出典
何が起きたか
Samba Teamは2026年5月26日、Samba 4.24.3、4.23.8、4.22.10を公開しました。
各リリースノートでは、今回のリリースが6件のセキュリティ欠陥に対応するためのセキュリティリリースであると説明されています。対象となるCVEは、CVE-2026-1933、CVE-2026-2340、CVE-2026-3012、CVE-2026-3238、CVE-2026-4408、CVE-2026-4480です。
SecurityOnlineは、今回の更新について、CVSS 10.0のリモートコード実行脆弱性2件を含むSambaの重要なセキュリティ更新として報じています。
修正版は以下です。
| 系統 | 修正版 |
|---|---|
| Samba 4.24系 | Samba 4.24.3 |
| Samba 4.23系 | Samba 4.23.8 |
| Samba 4.22系 | Samba 4.22.10 |
Samba Teamは、管理者に対し、これらのバージョンへアップグレードするか、公開されたパッチをできるだけ早く適用するよう案内しています。
修正された脆弱性
| CVE | CVSS | 影響機能 | 概要 |
|---|---|---|---|
| CVE-2026-4408 | 10.0 | DCE/RPC SAMRサーバ | 非標準構成のSambaファイルサーバやclassic domain controllerで認証不要RCEの恐れ |
| CVE-2026-4480 | 10.0 | 印刷サブシステム | print commandの%Jを介した認証不要RCEの恐れ |
| CVE-2026-3012 | 8.0 | 証明書自動登録GPO | CA証明書をHTTP経由で検証なく取得し、攻撃者の証明書を信頼する恐れ |
| CVE-2026-3238 | 7.5 | AD DC WINSサーバ | 認証不要UDPパケットでNULLポインタ参照によりDoSの恐れ |
| CVE-2026-1933 | 7.1 | reparse point操作 | 読み取り専用共有上でreparse point xattrを変更できる恐れ |
| CVE-2026-2340 | 6.5 | WORM vfs | 保護対象ファイルをrename操作で上書きできる恐れ |
CVE-2026-4480:印刷サブシステムの認証不要RCE
CVE-2026-4480は、Sambaの印刷サブシステムに存在する認証不要のリモートコード実行脆弱性です。
影響を受けるのは、print command設定に%J置換文字を含むSamba印刷サーバです。Samba Teamのアドバイザリでは、クライアントが制御できる印刷ジョブの説明文字列が、print command設定の%Jを介してコマンドへ渡される際、シェルメタ文字が適切にエスケープされないため、リモートコード実行につながると説明されています。
この脆弱性のCVSS v3.1は10.0です。
特に注意が必要なのは、Sambaの印刷サーバでは、デフォルトでゲストユーザーが印刷できる場合がある点です。つまり、印刷共有が有効で、該当するprint command設定がある場合、認証なしで攻撃される可能性があります。
一方で、printing = cupsまたはprinting = iprintを使用している印刷サーバや、print commandに%Jを含まない環境は影響を受けないと説明されています。
確認すべき設定
testparm -sv 2>/dev/null | grep -i "print command"
testparm -sv 2>/dev/null | grep -i "printing"
print commandに%Jが含まれている場合は、修正版への更新を優先してください。すぐに更新できない場合は、%Jを削除する、またはSamba Teamが案内しているように%Jを直接シングルクォートで囲む緩和策を検討します。ただし、シングルクォートで囲んでもコマンドラインオプションの注入リスクが残る可能性があるため、根本対応は修正版への更新です。
CVE-2026-4408:DCE/RPC SAMRサーバの認証不要RCE
CVE-2026-4408は、Samba DCE/RPC SAMRサーバに存在する認証不要のリモートコード実行脆弱性です。
影響を受けるのは、Sambaファイルサーバおよびclassic non-AD domain controllerのうち、samba-dcerpcdがシステムサービスとして起動し、さらにcheck password scriptに%u置換文字を含む構成です。
Samba Teamの説明では、SAMR DCE/RPCサービスのSamValidatePasswordChangeおよびSamValidatePasswordReset RPCサービスが、smb.confで設定されたcheck password scriptへユーザー名とパスワードを渡します。このとき、%u置換文字を使用している場合、クライアントが制御可能なユーザー名がシェルメタ文字をエスケープされないままスクリプトへ渡され、リモートコード実行につながる可能性があります。
この脆弱性のCVSS v3.1は10.0です。
ただし、影響条件は限定的です。Samba Teamは、この構成が複数の点で非標準であると説明しています。Active Directory Domain Controllerは、ユーザー名を%uで展開しないため、CVE-2026-4408の影響を受けません。また、標準構成ではrpc start on demand helpersがyesであり、smbdが脆弱なコードへ到達できない形でsamba-dcerpcdを起動します。
確認すべき設定
testparm -sv 2>/dev/null | grep -i "check password script"
testparm -sv 2>/dev/null | grep -i "rpc start on demand helpers"
check password scriptに%uが含まれ、かつrpc start on demand helpers = noとなっている場合は、影響を受ける可能性があります。
すぐに更新できない場合は、rpc start on demand helpersをデフォルトのyesに戻し、check password scriptで%uを使わず、SAMBA_CPS_ACCOUNT_NAME環境変数からユーザー名を取得する形へ変更することが推奨されています。
CVE-2026-3012:証明書自動登録GPOの信頼経路に関する問題
CVE-2026-3012は、証明書自動登録GPOに関する脆弱性です。
Samba Teamによると、ドメインメンバーで証明書自動登録GPOが有効な場合、CA証明書を平文HTTPで取得し、信頼ストアへインストールしてしまう可能性があります。本来、ドメインメンバーはより安全なLDAP経由で証明書へアクセスできるため、HTTP経由で取得する必要はありません。
攻撃者がローカルネットワーク上でHTTP応答を傍受または改ざんできる場合、攻撃者が選んだ証明書を信頼させることができる恐れがあります。
CVSS v3.1は8.0です。
影響を受けるのは、Samba 4.16以降のうち、証明書自動登録GPOを有効にしている構成です。Samba Teamは、Windows GPMEで証明書自動登録を有効化していない場合や、smb.confにapply group policies = yesがない場合、脆弱なコードは実行されないと説明しています。
確認すべき設定
testparm -sv 2>/dev/null | grep -i "apply group policies"
証明書自動登録GPOを利用している環境では、Samba更新後に証明書配布や信頼ストアの状態を確認してください。
CVE-2026-3238:AD DC WINSサーバのDoS
CVE-2026-3238は、SambaがActive Directory Domain Controllerとして構成され、WINSサーバ機能が有効な場合に影響するDoS脆弱性です。
Samba Teamのアドバイザリでは、AD DCコード内のWINSサーバコンポーネントが、認証不要のUDPパケットによりNULLポインタ参照を起こし、クラッシュする可能性があると説明されています。
CVSS v3.1は7.5です。
この脆弱性は、wins support = yesが[global]セクションで明示的に設定されている場合に影響します。WINSサーバが不要な環境では、この設定を削除することが緩和策として案内されています。
確認すべき設定
testparm -sv 2>/dev/null | grep -i "wins support"
WINSは古いNetBIOS名前解決に関係する機能です。現在の環境で不要であれば、無効化を検討してください。
CVE-2026-1933:reparse point操作のアクセスチェック不足
CVE-2026-1933は、Samba 4.21以降に影響するreparse point操作のアクセスチェック不足です。
Samba Teamによると、read only = yesと設定された共有や、読み取り専用で開かれたファイルハンドルであっても、ファイルシステムレベルで書き込み権限を持つユーザーが、reparse point xattrを設定または削除できる可能性があります。
reparse pointは、Windowsにおけるシンボリックリンク表現にも使われます。そのため、攻撃者は条件を満たすファイルをWindowsやLinuxクライアントから見たシンボリックリンクのように変更できる可能性があります。また、既存ファイルをreparse pointへ変更することで、通常利用者が対象ファイルシステムを利用できない状態にする可能性もあります。
CVSSは7.1です。
確認すべき設定
testparm -sv 2>/dev/null | grep -i "read only"
Samba Teamは、read only = yes共有へアクセスするユーザーに対し、エクスポート対象ファイルへのファイルシステムレベルの書き込み権限を持たせないことを回避策として示しています。
CVE-2026-2340:WORM vfsで保護ファイルを上書きできる問題
CVE-2026-2340は、SambaのWORM vfsモジュールに関する脆弱性です。
WORMはWrite-Once, Read-Manyの略で、作成後のファイルを書き換えできないようにするための機能です。Samba Teamによると、vfs_wormモジュールは、ファイル作成後一定時間が経過するとSMB経由でファイルを不変にすることを目的としています。
しかし今回の脆弱性では、rename処理において、リネーム元ファイルがまだ変更可能かどうかは確認していたものの、リネーム先がすでにWORM保護されたファイルかどうかを確認していませんでした。その結果、書き込み権限を持つ攻撃者が一時ファイルを作成し、保護対象ファイルへrenameすることで、保護対象ファイルを上書きできる可能性があります。
CVSS v3.1は6.5です。
ただし、Samba Teamは、この脆弱性が基盤となるファイルシステムのアクセス制御や、他のSambaモジュールを回避するものではないと説明しています。つまり、通常持っていない権限を新たに得られるものではなく、WORM vfsによる追加保護が期待通りに機能しない問題です。
確認すべき設定
testparm -sv 2>/dev/null | grep -i "vfs objects"
testparm -sv 2>/dev/null | grep -i "worm"
WORM vfsを監査保存、証跡、改ざん防止、バックアップ保護に使っている場合は、優先的に更新してください。
影響範囲
今回の修正はSamba 4.22.10、4.23.8、4.24.3で提供されています。
Samba Teamの各アドバイザリでは、CVEごとに影響バージョンが異なります。
| CVE | 影響バージョン・条件 |
|---|---|
| CVE-2026-4408 | 全バージョン。ただし非標準構成のSambaファイルサーバ、classic non-AD domain controllerが対象 |
| CVE-2026-4480 | 全バージョン。ただしprint commandに%Jを含む印刷サーバが対象 |
| CVE-2026-3012 | Samba 4.16以降。証明書自動登録GPOが有効な場合 |
| CVE-2026-3238 | Samba 4.0以降。AD DCでWINSサーバが明示的に有効な場合 |
| CVE-2026-1933 | Samba 4.21以降 |
| CVE-2026-2340 | Samba 4.20以降。ただしWORM vfs利用環境が中心 |
Sambaをディストリビューションのパッケージで利用している場合は、Samba公式バージョンとパッケージバージョンが一致しないことがあります。Red Hat、Ubuntu、Debian、SUSE、AlmaLinux、Rocky Linux、NASベンダー、アプライアンスベンダーのセキュリティ更新も確認してください。
すぐに実施すべき対応
Step 1:Sambaの利用有無を確認する
まず、自社でSambaを利用しているサーバを洗い出してください。
確認対象は、明示的なLinuxファイルサーバだけではありません。NAS、バックアップサーバ、部門サーバ、複合機連携、古い業務システム、検証環境、拠点ファイル共有にもSambaが使われている場合があります。
smbd -V
samba -V
rpm -qa | grep -i samba
dpkg -l | grep -i samba
Step 2:修正版へ更新する
Sambaを直接ソースから導入している場合は、Samba 4.24.3、4.23.8、4.22.10へ更新してください。
OSパッケージで利用している場合は、各ディストリビューションが提供するセキュリティ更新を適用してください。
# Debian / Ubuntu系
sudo apt update
sudo apt list --upgradable | grep samba
sudo apt upgrade
# RHEL / AlmaLinux / Rocky Linux系
sudo dnf update samba\*
更新後は、Sambaサービスの再起動やサーバ再起動が必要になる場合があります。
sudo systemctl restart smb nmb winbind
sudo systemctl restart samba-ad-dc
サービス名はディストリビューションや構成により異なります。
Step 3:印刷サブシステムの設定を確認する
CVE-2026-4480の影響確認として、print commandに%Jが含まれていないか確認してください。
testparm -sv 2>/dev/null | grep -i "print command"
testparm -sv 2>/dev/null | grep -i "printing"
確認すべきポイントは以下です。
| 項目 | 危険な状態 |
|---|---|
print command |
%Jが含まれている |
| ゲスト印刷 | ゲストユーザーが印刷可能 |
| 印刷共有 | 不要な印刷共有が残っている |
| CUPS / iprint | 該当構成かどうか確認 |
| 複合機連携 | 古い部門サーバで独自print commandを使用 |
不要な印刷機能は無効化し、印刷共有が必要な場合もアクセス元と認証を制限してください。
Step 4:check password scriptとDCE/RPC設定を確認する
CVE-2026-4408の影響確認として、check password scriptとrpc start on demand helpersを確認します。
testparm -sv 2>/dev/null | grep -i "check password script"
testparm -sv 2>/dev/null | grep -i "rpc start on demand helpers"
確認すべきポイントは以下です。
| 項目 | 危険な状態 |
|---|---|
check password script |
%uを含んでいる |
rpc start on demand helpers |
noに設定されている |
| 構成 | ファイルサーバまたはclassic non-AD domain controller |
| AD DC | CVE-2026-4408はAD DCには影響しないと説明されています |
| パスワードポリシー | 外部スクリプトで独自に検査している |
check password scriptに%uを使っている場合は、SAMBA_CPS_ACCOUNT_NAME環境変数からユーザー名を取得する形へ変更することを検討してください。
Step 5:WINS、WORM vfs、GPO設定を確認する
今回のリリースでは、RCE以外の高深刻度脆弱性も修正されています。
testparm -sv 2>/dev/null | grep -i "wins support"
testparm -sv 2>/dev/null | grep -i "vfs objects"
testparm -sv 2>/dev/null | grep -i "worm"
testparm -sv 2>/dev/null | grep -i "apply group policies"
確認すべき項目は以下です。
| 設定 | 関係するCVE | 確認内容 |
|---|---|---|
wins support = yes |
CVE-2026-3238 | AD DCでWINSが必要か |
vfs objects = worm |
CVE-2026-2340 | WORM保護を監査・証跡用途に使っているか |
apply group policies = yes |
CVE-2026-3012 | 証明書自動登録GPOが有効か |
read only = yes |
CVE-2026-1933 | OS側書き込み権限と共有設定が矛盾していないか |
使っていない機能は無効化してください。特にWINSや古い印刷共有は、運用上不要になっていても設定だけ残っていることがあります。
Step 6:Sambaサーバの公開範囲を確認する
Sambaは原則としてインターネットへ公開すべきではありません。
今回のRCE脆弱性は特定設定が必要ですが、SMBやRPCを外部へ公開している環境では、脆弱性の有無にかかわらずリスクが高くなります。
確認すべきポートは以下です。
| ポート | 用途 |
|---|---|
| TCP 445 | SMB |
| TCP 139 | NetBIOS Session Service |
| UDP 137 | NetBIOS Name Service |
| UDP 138 | NetBIOS Datagram Service |
| TCP 135 | RPC Endpoint Mapper |
| 動的RPCポート | 構成により利用 |
外部公開の有無は、ファイアウォール、クラウドセキュリティグループ、VPN内ルーティング、拠点間通信、ゼロトラスト接続を含めて確認してください。
監視で確認すべきポイント
更新とあわせて、悪用の兆候がないか確認してください。
| 確認対象 | 見るべき内容 |
|---|---|
| Sambaログ | 認証失敗、異常なRPCアクセス、印刷ジョブ異常 |
| syslog | smbd、samba-dcerpcd、印刷関連プロセスの異常 |
| プロセス | smbdや印刷スクリプト配下での不審なシェル起動 |
| ファイル共有 | 不審なファイル作成、rename、シンボリックリンク化 |
| WINS | UDPパケット後のクラッシュや再起動 |
| EDR | Sambaサーバ上でのcurl、wget、bash、python、perlなどの不審実行 |
| ネットワーク | SMB/RPCへの外部または通常外セグメントからの接続 |
| 印刷ログ | 不自然な印刷ジョブ名、ゲスト印刷、短時間大量ジョブ |
特にCVE-2026-4480では、印刷ジョブ説明文字列が攻撃に関係します。不自然なジョブ名、特殊文字を含むジョブ、印刷サーバ上でのシェル起動を確認してください。
CVE-2026-4408では、check password scriptを利用する環境で、パスワード変更・リセットRPCやsamba-dcerpcd周辺のログを確認する必要があります。
ファイルサーバ運用で注意すべきポイント
Sambaサーバは、社内の重要ファイル、共有フォルダ、バックアップ、部門別データを保管していることがあります。
侵害された場合、攻撃者はファイル閲覧、改ざん、削除、圧縮、外部送信、ランサムウェア展開に進む可能性があります。今回の脆弱性対応では、バージョン更新だけでなく、Sambaサーバ上の権限と共有設定も確認してください。
確認すべき項目は以下です。
| 項目 | 内容 |
|---|---|
| 共有一覧 | 不要な共有が残っていないか |
| ゲストアクセス | guest ok = yesが不要に設定されていないか |
| 書き込み権限 | 読み取り専用共有とOS権限が矛盾していないか |
| 管理者権限 | Sambaサーバ上のroot・sudo権限の利用状況 |
| バックアップ | Sambaサーバと同じ認証情報でバックアップへ到達できないか |
| ログ保全 | インシデント調査に十分なログ期間があるか |
| EDR導入 | LinuxサーバにもEDRや監査ログがあるか |
今後確認すべきこと
今回のSamba更新は、CVSS 10.0のRCE脆弱性2件を含む重要な内容です。
現時点で、Samba公式アドバイザリには実際の悪用確認に関する記載はありません。ただし、パッチ公開後は攻撃者が差分解析を行い、PoCや検証コードを作成する可能性があります。特に、印刷サブシステムやcheck password scriptのような設定依存の脆弱性は、公開情報から確認スクリプトを作成しやすい点に注意が必要です。
今後確認すべき点は以下です。
| 確認点 | 理由 |
|---|---|
| ディストリビューションの更新提供 | OSパッケージでSambaを利用している場合、公式版と更新タイミングが異なる |
| NAS・アプライアンスの更新 | ベンダー独自ビルドのSambaが含まれている可能性 |
| PoC公開の有無 | CVSS 10.0のRCEは検証コード公開後に攻撃が増える可能性 |
| 外部公開SMBの有無 | インターネット公開されているSMBは優先対応 |
| 印刷共有の必要性 | 使っていない印刷機能は無効化 |
| 古い共有サーバ | 部門管理・拠点管理のSambaが資産台帳から漏れやすい |








