SAP製品の古い脆弱性を突く攻撃横行、日本企業に被害
SAPは2010年に脆弱性を修正しているが、ユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けているという。
SAPのビジネスアプリケーションで5年前に修正された脆弱性が悪用されている形跡があることが分かり、米セキュリティ機関US-CERTが5月11日、セキュリティ情報を出して注意を呼び掛けた。日本を含む各国のグローバル企業がこの問題を突く攻撃の被害に遭っていたことも判明したという。
US-CERTやこの問題を発見したセキュリティ企業Onapsisによると、脆弱性はSAPのJavaプラットフォームに組み込まれた「Invoker Servlet」という機能に存在し、SAPが2010年に修正していた。ところがユーザー側の設定ミスやカスタムアプリケーションが原因で、この問題が悪用され続けていることが判明した。
この問題はSAPのEnterprise Resource Planning(ERP)やCustomer Relationship Management(CRM)など多数の製品が影響を受ける。場合によってはSAPのクラウドプラットフォームが影響を受けることもあるという。悪用された場合、HTTPを経由してSAPシステムに管理者権限でアクセスされ、情報やプロセスを制御される恐れがある。
Onapsisの調査では、日本や米国などのグローバル企業少なくとも36社のSAPシステムで2013〜2016年にかけてこの問題が悪用された事例が中国のデジタルフォーラムで公表されていたことが判明。Onapsisが詳しく調べた結果、SAP導入企業を狙った攻撃が横行している可能性があることが分かった。
被害に遭っていた36社は日本や米国のほか英国、ドイツ、中国、インド、韓国の企業で、業種は石油・ガス、通信、公益、小売り、自動車、鉄鋼など多岐にわたる。被害企業にはOnapsisが連絡を取っているという。
US-CERTではユーザーに対し、「SAP Security Note 1445998」を実装してInvoker Servletを無効にするなどの対策を呼び掛けている。
関連記事
- Windows Server 2003の機能を悪用する攻撃、初の確認
Windows Server 2003で更新プログラムのインストールに使われていた「ホットパッチ」機能を悪用したサイバースパイ攻撃が初めて確認された。 - 2015年の日本の標的型攻撃状況は? トレンドマイクロが解説
公的機関での大規模な情報漏えい事件以降に攻撃が鳴りを潜めた感もあるが、実際には手法を変えただけの可能性が高い。 - 防衛産業を狙う標的型攻撃、日本や米国で8社が被害
Trend Microは、日本とイスラエル、インド、米国の被害企業8社を特定し、連絡を取っているという。 - Flashの脆弱性悪用攻撃、国内ハイテク2社に被害
国内2組織のWebサイトが改ざんされた攻撃で、Webサイトを利用していた別の2つのハイテク企業が被害に遭ったという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.