サイバー攻撃者はSAPの専門家？ SAP NetWeaver Visual Composerの悪用が進む：Cybersecurity Dive

SAP NetWeaver Visual Composerに重大な脆弱性が見つかった。共通脆弱性評価システム（CVSS）における同脆弱性のスコアは最大の10を記録している。この脆弱性はSAPに深い知見を持つサイバー攻撃者に悪用されているという。

[David Jones，Cybersecurity Dive]

　研究者によると、「SAP NetWeaver」で動作するモデルベースのアプリケーション開発ツール「SAP NetWeaver Visual Composer」の重大な脆弱（ぜいじゃく）性を悪用したサイバー攻撃の第2波が発生している。

サイバー攻撃者はSAPの専門家？

　2025年4月に明らかになった最初の脅威活動に続き、攻撃の機会を狙う攻撃者は、「CVE-2025-31324」の脆弱性を悪用し、既に設置されたWebシェルを利用して攻撃を仕掛けている（注1）。サイバーセキュリティ事業を営むOnapsisの研究者たちによると（注2）、共通脆弱性評価システム（CVSS）における同脆弱性のスコアは最大値の10だ。これを悪用すれば、認証されていない攻撃者は任意のファイルをアップロードし、システムを完全に制御できる。

　Onapsisと、調査企業であるMandiantは世界中で確認された数百件の侵害を追跡しており（注3）、その被害は公益事業や製造業、石油およびガスなどの重要インフラを含む複数の業界にわたって発生しているようだ。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年4月に、「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）にこの脆弱性を追加した（注4）。

　Onapsisの研究者たちによると、今回の脅威活動は当初の認識よりも深刻であり、その一因は攻撃者がSAPのシステムに対して、防御側が想定していた以上の知識や理解を持っている点にあるという。Onapsisによると、ハッカーたちが脆弱性を備えたSAPのシステムの探索を開始したのは2025年1月であり、これまで考えられていた時期よりも2カ月早かったようだ。

　Onapsisのフアン・パブロ（JP）・ペレス＝エチェゴイエン氏（最高技術責任者）は、電子メールで次のように述べた。

　「当初、攻撃者は遠隔ファイルアップロードの脆弱性を悪用し、Webシェルを設置した。それを使ってシステムを侵害したと考えられていたが、その認識が変わった」

　Onapsisが不正なコードを再構築したところ、ハッカーたちは実際にはリモートコマンドの実行に関連する脆弱性を悪用していたことが判明した。

　複数のセキュリティ調査企業によると、積極的な悪用と侵害は2025年3月に始まったようだ。

　専門家たちによると、攻撃者はSAPに関する高度な知識を持っているようで、痕跡を隠しつつ侵入を維持するためにLiving-off-the-land（環境寄生型）の手法を使用している可能性があるという。

　SAPは2025年4月下旬に、パッチを適用できないシステムから該当のアプリケーションを完全に削除するための回避策を含むアップデートをリリースした。SAPが提供する緩和のためのツールは、確認済みの顧客のみが利用できるようパスワードで保護されている。

　SAPは全ての顧客に対し、2025年4月24日にリリースされた緊急パッチを適用するよう強く呼びかけている。この脆弱性は、サイバーセキュリティ事業を営むReliaquestの研究者たちによって最初に発見および公表されたものだ（注5）。

　セキュリティプラットフォームを運営するForescoutの研究者たちは、中国を拠点とする新たな攻撃者を特定しており（注6）、同脆弱性の悪用は「Chaya_004」と名乗るグループによるものだという。

　Forescoutの脅威ハンティング部門に所属するサイ・モリゲ氏（シニアマネジャー）は電子メールで次のように述べた。

　「この度の一連の活動を既存の攻撃者と結び付けることは、まだできていない。しかし、攻撃者が使用しているインフラやツールから判断すると、攻撃者は国家から支援を受けた組織ではなく犯罪組織である可能性が高い」

　研究者たちは、クラウドベースのセキュリティサービスを提供するCloudflareの証明書を偽装しているネットワークを発見した。これは主にAlibabaやTencent、Huaweiのクラウド上にホストされており、787以上のIPアドレスにまたがっているという。

　また、アナリストたちは、SuperShellやCobalt Strike、SoftEther VPN、中国語で形成された複数のペネトレーションテスト用ツールを使った実際の攻撃を確認した。

（注1）CVE-2025-31324 Detail（NIST）
（注2）SAP NetWeaver Flaw Lets Threat Actors Take Full Control: CVE-2025-31324 and CVE-2025-42999 Explained（ONAPSIS）
（注3）Critical vulnerability in SAP NetWeaver Visual Composer leads to confirmed compromises（Cybersecurity Dive）
（注4）Known Exploited Vulnerabilities Catalog（CISA）
（注5）Critical vulnerability in SAP NetWeaver under threat of active exploitation（Cybersecurity Dive）
（注6）Threat Analysis: SAP Vulnerability Exploited in the Wild by Chinese Threat Actor（FORESCOUT）