SAP製品の古い脆弱性を突く攻撃横行、日本企業に被害

SAPは2010年に脆弱性を修正しているが、ユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けているという。

[鈴木聖子，ITmedia]

脆弱性（修正済み）の影響を受けるSAP製品（US-CERTより）

　SAPのビジネスアプリケーションで5年前に修正された脆弱性が悪用されている形跡があることが分かり、米セキュリティ機関US-CERTが5月11日、セキュリティ情報を出して注意を呼び掛けた。日本を含む各国のグローバル企業がこの問題を突く攻撃の被害に遭っていたことも判明したという。

　US-CERTやこの問題を発見したセキュリティ企業Onapsisによると、脆弱性はSAPのJavaプラットフォームに組み込まれた「Invoker Servlet」という機能に存在し、SAPが2010年に修正していた。ところがユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けていることが判明した。

　この問題はSAPのEnterprise Resource Planning（ERP）やCustomer Relationship Management（CRM）など多数の製品が影響を受ける。場合によってはSAPのクラウドプラットフォームが影響を受けることもあるという。悪用された場合、HTTPを経由してSAPシステムに管理者権限でアクセスされ、情報やプロセスを制御される恐れがある。

　Onapsisの調査では、日本や米国などのグローバル企業少なくとも36社のSAPシステムで2013〜2016年にかけてこの問題が悪用された事例が中国のデジタルフォーラムで公表されていたことが判明。Onapsisが詳しく調べた結果、SAP導入企業を狙った攻撃が横行している可能性があることが分かった。

　被害に遭っていた36社は日本や米国のほか英国、ドイツ、中国、インド、韓国の企業で、業種は石油・ガス、通信、公益、小売り、自動車、鉄鋼など多岐にわたる。被害企業にはOnapsisが連絡を取っているという。

被害企業の国籍に日本も（Onapsisより）

　US-CERTではユーザーに対し、「SAP Security Note 1445998」を実装してInvoker Servletを無効にするなどの対策を呼び掛けている。