ハッカーがSAP S/4HANAの重大な脆弱性を悪用

Nitpicker / Shutterstock

先月、SAPはS/4HANA向けに、CVSSスコア9.9の重大な脆弱性CVE-2025-42957を修正するパッチをリリースしました。新たに発見されたエクスプロイトにより、権限の低いユーザーでもSAPのプログラミング言語ABAPを使ったコードインジェクションによってS/4HANAシステムを完全に制御できるようになります。すべてのS/4HANAバージョン（プライベートクラウド、オンプレミスの両方）がこの脆弱性の影響を受けます。

脆弱性のパッチ適用と監視

まだパッチを適用していない管理者は、速やかに対応すべきです。SecurityBridgeは、木曜日に、この脆弱性をコードインジェクションで悪用するエクスプロイトが実際に確認されたと報告しています。

幸いなことに、現時点では広範囲に悪用されているという報告はありませんが、ドイツの同社はブログ記事で述べています。とはいえ、未パッチのシステムは依然として危険にさらされており、攻撃者がこの脆弱性の悪用方法を把握しているため、注意が必要です。

また、エクスプロイトを作成するためにパッチをリバースエンジニアリングするのは、SAPのプログラミング言語ABAPでは比較的容易であると付け加えています。これは、ABAPコードが誰でも閲覧可能であるためです。

どれだけの管理者がすでにパッチを適用したかについては正確な数字がないため不明です。しかし、ITセキュリティベンダーOnapsisのCTO、Juan Pablo Perez-Etchegoyen氏などの専門家は、多くの企業がパッチデーまたはその直後にパッチを適用したと考えています。スコア9.9の評価であれば、たとえパッチ適用がITネットワークの障害を引き起こす可能性があっても、インストールを避けることはできないと同氏は述べています。 

SecurityBridgeによると、攻撃者が引き起こす可能性のある事例は以下の通りです：

• SAPデータベース内のデータを直接削除・挿入する
• SAP_ALL権限を持つSAPユーザーを作成する
• パスワードハッシュをダウンロードする
• 業務プロセスを変更する

ERPシステム ― 過小評価されている脆弱性

米国の姉妹誌に対し、SANS（SysAdmin, Audit, Networking and Security）研究所の研究責任者Johannes Ullrich氏は、過去にはこうした複雑なシステムにパッチを適用するのが困難だったと説明しています。そのため、多くの企業は本番環境でパッチを適用する前に、今もなお慎重かつ長期的なテストを行う必要があると専門家は述べています。

「SAPのようなERPシステムは、重大かつしばしば過小評価されている標的です。S/4HANAはSAP ERPシステムを支えるインメモリデータベースです」とUllrich氏は述べます。これが侵害されると、犯罪者はSAPシステムに保存されたデータにアクセスできるだけでなく、場合によってはデータを改ざんし、ビジネス上の意思決定に悪影響を与えることもあります。「データ改ざんを目的としたこうした攻撃は、巧妙に隠されていることが多く、発見や防御が難しい」と専門家は指摘します。

さらにUllrich氏は、CVE-2025-42957はS/4HANAシステムを攻撃する際、あらゆる攻撃者の武器庫において重要な穴を埋めるものだと述べています。その理由は、ハッカーが依然としていくつかの認証情報を必要とするものの、今や低レベルのアクセス権で十分となったためです。これらの認証情報は、他の攻撃で入手された可能性もあると研究者は説明しています。

S/4HANAは数か月前から圧力にさらされている

SAP S/4HANAが今年経験した最初の大きな脆弱性ではありません。4月には、S/4HANAのLearning Solutionモジュールでクロスサイトリクエストフォージェリ（CVE-2025-31328）の脆弱性が発見されました。

2月には、S/4HANAのExtended Application（XS）Services Advanced Model（CVE-2025-24868）でオープンリダイレクトの脆弱性が研究者によって発見されました。この脆弱性により、認証されていない攻撃者が悪意あるリンクを作成し、無防備な被害者を悪質なウェブサイトへリダイレクトさせることが可能です。

SAPは複雑すぎるのか？

Eckhart Mehler氏（ドイツ在住のCISO）は、プラットフォームの複雑さが潜在的なセキュリティホールを生み出す可能性があると指摘しています。多くの場合、誤った設定や人的ミスが原因となります。

問題点としては、SAPアカウントのデフォルトパスワードがそのまま使われていること、過剰なユーザー権限、暗号化されていないSAPトラフィックやTLS 1.0などの古いプロトコルによる通信が許可されていることなどが挙げられます。また、不十分なトラフィック監視やログ記録、そして安全でないABAPプログラミング手法も問題を悪化させると専門家は述べています。

SAPアプリケーションはハッカーに人気

しかし、犯罪者が狙っているのはS/4HANAだけではないと、ITセキュリティベンダーOnapsisのCTO、Juan Pablo Perez-Etchegoyen氏は指摘します。ハッカーは現在、SAPアプリケーション全般に大きな関心を寄せており、4月にはSAP NetWeaverでエクスプロイトが発見されました。

これはCVE-2025-31324という認証欠如の脆弱性であるとPerez-Etchegoyen氏は述べています。「そのため、企業はこれまで以上にSAPセキュリティをITセキュリティ体制に組み込むことが重要であり、パッチをできるだけ早く適用する必要があります」と専門家は強調します。（tf/ad）