Windows Update(KB4480970)後に共有フォルダにアクセスできない(ハンドルが無効です)不具合発生中(修正アップデートKB4487345提供開始・2019年1月15日更新)

現在、Windows 7で行っているファイル共有が突然利用できなくなる問題が多くのWindows 7利用者の間で発生している模様です。

「ネットワークエラー \\○○\○○ にアクセスできません エラーコード:0x80070035 ネットワークパスが見つかりません」などのエラーが発生し、今まで接続できていた共有フォルダに突然アクセスできなくなるユーザーが増えています。

ネットワークの設定・ルーターの設定・ファイヤーウォールの設定を確認したり、ファイル共有に利用しているPCを再起動したりしても復旧せず、困ってしまうユーザーが多いようです。

しかし現在急増しているこの問題に遭遇した後に復旧することができたユーザーに共通している特徴の一つとして、「KB4480970をアンインストールしたら直った」というものがあり、「KB4480970が原因」との情報が広まり始めています。

いきなり共有フォルダにアクセスできなくなった😭と客先から連絡があり
んな馬鹿なと調べたところ、どうやらWindowsUpdateが原因っぽい。
KB4480970をアンインストールすることにより解決。
頼むよマイクロソフトさん…

— ひでゆ (@ki_hideyu) 2019年1月10日

２０１９年１月９日に配布されたWindowsのＯＳアップデートを実施したら、再起動後、今まで使えていたファイル共有機能が使えなくなった。ファイル共有しているパソコンにアクセスできない。今日適用したパッチのうち「KB4480970」をアンインストールしたらファイル共有出来るようになった！！

— あっきっき (@akkimk2) 2019年1月9日

WinUpdateの不具合で、
Win10から、Win7へ
アクセスできなくなっていた様子
　
Win7で
KB4480970または
KB4480960を
アンインストールすることで
解消されました

— 簸川 葵 (@AoiHikawa) 2019年1月10日

何も設定変更していないのに共有フォルダにアクセスできなくなって、
あーESETが悪さした？から始まって、
あれ？Windowsのネットワーク設定がおかしくなった？を通り
すわ！NetBIOS周り？とか調べていった結果・・・
WindowsUpdateかよ！KB4480970をアンインスコしたら正常に

— Kozy@18/11/6チェンクロ開始 (@UC_Kozy) 2019年1月9日

KB4480970に関するMicrosoft公式ページを確認すると、脆弱性の修正などを含む、いくつかの修正・改善が含まれたWindows Updateのようです（リリース日は2019年1月8日）。

アップデート内容の詳細は「January 8, 2019—KB4480970 (Monthly Rollup) (英語)」にて説明されています。

Improvements and fixes
This security update addresses the following issues:

・Provides protections against an additional subclass of speculative execution side-channel vulnerability known as Speculative Store Bypass (CVE-2018-3639) for AMD-based computers. These protections aren't enabled by default. For Windows client (IT pro) guidance, follow the instructions in KB4073119. For Windows Server guidance, follow the instructions in KB4072698. Use these guidance documents to enable mitigations for Speculative Store Bypass (CVE-2018-3639). Additionally, use the mitigations that have already been released for Spectre Variant 2 (CVE-2017-5715) and Meltdown (CVE-2017-5754).

・Addresses a security vulnerability in session isolation that affects PowerShell remote endpoints. By default, PowerShell remoting only works with administrator accounts, but can be configured to work with non-administrator accounts. Starting with this...nnot configure PowerShell remote endpoints to work with non-administrator accounts. When attempting to use a non-administrator account, the following error will appear:

・“New-PSSession: [computerName] Connecting to remote server localhost failed with the following error message: The WSMan service could not launch a host process to process the given request. Make sure the WSMan provider host server and proxy are properly registered. For more information, see the about_Remote_Troubleshooting Help topic.”

Security updates to Windows Kernel, Windows Storage and Filesystems, Windows Wireless Networking, and the Microsoft JET Database Engine.
For more information about the resolved security vulnerabilities, please refer to the Security Update Guide.

（引用元）

※今のところ（1/10 11:55）、日本語版のMicrosoftサポートページであっても、未翻訳状態のようです（機械翻訳版での表示も行われていない）。

このKB4480970にはいくつかの「既知の不具合（把握済みの不具合）」があることがその公式ページ中に示されており、その既知の不具合の中のひとつに、今回のファイル共有の問題が指摘されています。

そのため、現在突然ファイル共有ができなくなってしまった、Windows Updateをしたらネットワーク共有している共有フォルダにアクセスできない（共有する側）、といった問題が発生している原因はやはりKB4480970にあるものと思われます。

After installing this update, some users may not be able to access shared network folders.

（引用元）

この対策（一時的な回避策）としては、次のとおり記載されています。はっきり言ってしまえば、問題の調査中であり、回避策がない状態とされています。

We are aware of this incident and are presently investigating it. We will provide an update when available.

（引用元）

ここでひとつややこしい点があります。それは「共有フォルダにアクセスできない！エラーが出る！」と不具合に気が付く側、つまり「共有フォルダにアクセスする側（クライアント側）」がKB4480970アップデートをしていなくてもこの問題が発生する、という点です。

というのも、「共有フォルダを公開している側（サーバー側）」がKB4480970アップデートをしたことで発生するタイプの不具合であるため、原因がKB4480970であっても、「エラーが出たパソコンにKB4480970がインストールされていないのに発生した」「エラーが出たからKB4480970をアンインストールしたのにまだエラーが出る」といったことが起こる、という点です（クライアント・サーバーその両方がWindows 7である場合が最もややこしい）。この点には注意が必要です。

そのため、Windows 7をファイルサーバーとして利用している場合、Windows 10のパソコンからもつながらない、などが発生するような状態です。

先ほどの「既知の不具合」情報にもあったとおり、すぐ実行可能な対策が案内されていない状態で、現時点で推奨される対策は、修正アップデートが提供されるのを待ち、修正アップデートが提供されたら適用する、という方法です。

ただし、KB4480970が原因ではない場合も考えられるため、こちらの手順にある方法で、KB4480970がアンインストール対象の一覧に表示されるのかどうかを確認して、KB4480970がそもそもインストールされているかどうかを確認するなどしてみてください。単純に共有フォルダにアクセスできなくなる別のトラブル（NASの不調など）が原因となっている可能性も考えられます。

なお、KB4480960という別の番号のWindows Updateでも発生しているとの声もありますが、今のところKB4480960側の既知の不具合の一覧に、今回の共有フォルダの問題についての言及はありません（1/10 11:30確認）。

また別の対策としては、他の修正（脆弱性に関する修正）を含んでいるため、あまりおすすめできませんが、多くのユーザーが行っているとおり、この修正アップデートが適用される前の状態に戻す（Windows Updateの内容をアンインストールする）といった方法もあります。

Microsoftが単純にWindows Updateのアンインストールという対策を案内する場合がある一方で、今回問題が大きいにも関わらず（今のところ）そうしていないところからも、やはりセキュリティパッチをアンインストールしてしまう点に懸念があるのではないかと思われます。修正パッチ待ちがやはり推奨です。

なお、「KB4480970が見つからない」という場合、「インストール日」の表示にこだわって探してしまっている場合があります。インストール日（アップデートの適用日）はユーザーごとに異なるため、このアップデートがリリースされた1月8日にこだわらず、1月8日以降を幅広く探すようにしてください。

また、アンインストールする必要があるのは、共有フォルダにアクセスできないパソコンではなく、共有フォルダを公開していて、アクセス「される側」のパソコンです。そちらを探すようにしてください。

「KB4480960をアンインストールしても直らない」問題について

ただしこのKB4480960をアンインストールしてWindowsの再起動まで行ってもなおつながらないとの声もある状態です。

この不具合には「KB4480960以外の原因がある」という可能性もある一方で、エラーなどが出るのは「共有されたファイルにアクセスする側（クライアント側）」ですが、問題の原因は「ファイルを共有する側（サーバー側）」で発生するため「共有されたファイルにアクセスする側（クライアント側）」でのみWindows Updateをアンインストールしても解消されない、という問題に遭遇している可能性があります。

「ファイルを共有する側（サーバー側）」でのWindows Updateのアンインストールを検討してみてください。

Windows Updateを丸ごとアンインストールしてしまう場合セキュリティパッチもアンインストールされてしまうことから、レジストリを編集し、「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System」に対してDWORDの「LocalAccountTokenFilterPolicy」を追加し値を「1」にすると直るという修正方法を利用するユーザーも増え始めている模様です。

A workaround has been published to address the issue. It modifies the Windows Registry and should be run on the system that hosts the share. Note that you need to run from an elevated command prompt.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
Reboot the PC.
The Registry entry defines how administrator credentials are applied for remote access. A value of 1 sets the restrictions to Audit mode.

（引用元）

しかしこの設定変更は、ユーザーアカウント制御(UAC)のリモート制限(UAC remote restrictions、管理者権限でリモートコンピューターにアクセスすることを制限する)を解除し、セキュリティが低下する設定変更となるため、注意が必要となります。

To better protect those users who are members of the local Administrators group, we implement UAC restrictions on the network. This mechanism helps prevent against "loopback" attacks. This mechanism also helps prevent local malicious software from running remotely with administrative rights.

（引用元）

• 参考：Description of User Account Control and remote restrictions in Windows Vista（英語）

※こちらではコマンドプロンプトから追加する方法が利用されていますが、こちらの方法のように、regeditから画面上のマウス操作中心で追加することもできます。ただし、レジストリを変更する際はバックアップなどを行うことが好ましく、変更の間違いなどが原因でWindowsの動作に問題が発生してしまう場合もあり、前述の副作用もあるため、こちらの対策に関してもやはり修正アップデートを待つことがおすすめです。

実は１週間ほど前にもExcel 2010でファイルが開けなくなる不具合が発生し、その原因がWindows Updateだった、という問題が発生したばかりでした。Excel 2010といい、Windows 7といい、サポート終了が来年に迫ったバージョンでWindows Updateの不具合が続いています。

• 詳細：KB4461627のWindows Update後にExcelが動作を停止する／フリーズする不具合について(2019年1月6日更新/Microsoftからの案内を追記)

KB4480970のページが更新され、ローカルの「Administrators」グループ（ローカル管理者グループ）に属しているユーザーが共有フォルダにアクセスしようとすると接続できない・つながらない可能性があり、ローカルAdministratorsグループに属さないユーザーであれば発生しないとの記載が追加されました（引き続き英語のまま）：

Local users who are part of the local “Administrators“ group may not be able to remotely access shares on Windows Server 2008 R2 and Windows 7 machines after installing the January 8th, 2019 security updates. This does not affect domain accounts in the local "Administrators" group.

（引用元）

そのため、一時的な回避策（Workaround）として次の通り、ローカルのAdministratorsグループに属さないローカルアカウントか、もしくはドメインユーザーからアクセスすれば回避可能との案内が出されています：

To work around this issue use either a local account that is not part of the local “Administrators” group or any domain user (including domain administrators).

We recommend this workaround until a fix is available in a future release.

（引用元）

しかしこちらもアカウントの権限変更や、ユーザー自体の変更などを行うこととなり、この問題の解消後に元に戻せなくなったり、別の制限・トラブルが発生してしまう可能性もある、詳しい人向けの対策となるため、あくまで「We recommend this workaround until a fix is available in a future release.（修正版が提供されるまでの一時的な回避策としての利用を推奨します）」とあることからも分かるとおり、最終的には修正待ちとなるタイプの対策であるため、設定変更に自信がない場合は引き続き修正版アップデートを待つことをおすすめします（逆にこの説明で対策設定を試せる、という人であれば、設定変更での回避を試みてください。レジストリ設定とは異なり、こちらはMicrosoft推奨の方法です）。

共有フォルダが利用できない既知の不具合に対する回避策の記載が更新され、「この問題はKB4487345で解消されます（This issue is resolved in KB4487345.）」となりました。

このアップデートは2019/01/11にリリースが開始された模様です。

Windows Updateを適用し、KB4487345の適用を行ってください。

This update resolves the issue where local users who are part of the local “Administrators“ group may not be able to remotely access shares on Windows 7 SP1 and Windows Server 2008 R2 machines after installing the January 8th, 2019 security updates. This does not affect domain accounts in the local "Administrators" group.

（引用元）

Windows Updateに表示されない・Windows Updateで最新にアップデートしても解決しない場合は、Microsoft Update Catalogのページにアクセスして、

• 「2019-01 x86 ベース システム用 Windows 7 更新プログラム (KB4487345)」もしくは、
• 「2019-01 x64 ベース システム用 Windows 7 更新プログラム (KB4487345)」

の、適切なほうをダウンロード＆実行して、手動でインストールを行ってください。

この２つはWindows 7用で、x86ベースというほうが32bit版用、x64ベースというのが64bit版用、という違いがあります。現在利用中のWindowsが32bit版か64bit版かを確認する方法はこちら。

Windows Server 2008 R2の場合は、同じ一覧にある「2019-01 Itanium ベース システム用 Windows Server 2008 R2 更新プログラム (KB4487345)」もしくは「2019-01 x64 ベース システム用 Windows Server 2008 R2 更新プログラム (KB4487345)」を利用してください。

• Windowsが32bit版か64bit版かを見分ける確認方法（Windowsキー+Rからコマンドを実行する）