SAP HANAに脆弱性情報、世界中の企業に影響か

悪用された場合、システムを攻撃者に制御され、企業情報の盗難、ビジネスプロセスの障害などの被害が発生する恐れがある。

[鈴木聖子，ITmedia]

　米セキュリティ企業のOnapsisは9月11日、SAP HANAベースの全アプリケーションに影響する脆弱性21件についてのセキュリティ情報を公開した。

　Onapsisの発表によると、脆弱性は21件中の8件が「critical」に分類され、うち6件はHANAの設計に起因することから、回避のためにはシステム設定を変更する必要がある。

危険性が極めて高い脆弱性が多数存在する（Onapsisより）

　脆弱性を修正しなければ、SAP HANAのシステムが認証を受けない攻撃者に完全に制御され、企業情報の盗難や削除や改ざんの被害に遭ったり、プラットフォームが停止させられてビジネスプロセスに障害が発生したりする恐れがあるとしている。

　深刻な脆弱性の多くはサーバ間通信を担うHANA TrexNetインタフェースに存在するという。HANAの技術はSAP S/4HANAやSAP HANA Cloud Platformを含むSAPの全アプリケーションに使われていて、サードパーティーモバイルアプリケーションの膨大なエコシステムも支えていることから、攻撃面は広大だとOnapsisは解説する。

SAP HANAの脆弱性件数の推移（同）

　脆弱性の影響は、世界大手も含めてSAP HANAを導入している企業1万社以上に及ぶと同社は推定。SAPの脆弱性が悪用されて障害が発生した場合のコストは、企業によっては最大で1分当たり2200万ドルと試算している。国家が関与する攻撃や経済スパイなどに利用されれば、世界経済にも重大な影響を及ぼしかねないと警告した。

　SAPはこれら脆弱性の修正パッチを公開済み。しかし、パッチを適用しても修正できない脆弱性もあるといい、Onapsisでは設定の変更による対処方法を紹介している。