SAPの重大な欠陥が扉を開く:CVE-2025-31324の脆弱性とその世界的な影響
Table of Contents
世界的な影響を及ぼす重大なバグ
SAP NetWeaverの脆弱性(CVE-2025-31324)は、世界中のITおよびセキュリティチームにとって大きな懸念事項として急速に浮上しました。CVSSスコアは最大10.0で、この脆弱性により、リモート攻撃者は認証なしで標的のシステム上でコードを実行できてしまうため、最も深刻なセキュリティリスクの一つとなっています。この問題は、公開されているエンドポイント( /developmentserver/metadatauploader)に存在し、攻撃者はこれを操作することで悪意のあるWebシェルをアップロードすることが可能です。
この脆弱性は単なる理論上のものではありません。すでに悪用事例が確認されており、SAPの強力なエンタープライズツールを利用する組織にとって、タイムリーなパッチ適用と緩和策が不可欠です。
広範囲かつ早期の搾取
この脆弱性はつい最近になって公表されましたが、フォレンジック分析の結果、数ヶ月前から密かに攻撃を受けていた可能性があることが明らかになりました。調査の試みの最も古い証拠は2025年1月に遡り、実際の悪用は3月中旬に始まったと考えられます。SAPシステムを監視していたセキュリティ企業は、3月14日から3月31日の間にWebシェルの展開に成功したことを確認済みです。これは、この脆弱性が広く知られるようになる前から、攻撃が行われていたことを示しています。
エネルギー、製造、小売、政府機関、メディアなど、複数の業界が影響を受けています。この業界横断的な影響は、グローバル企業の業務におけるSAP NetWeaverの影響力と重要性、そしてこのような脆弱性が広範囲に及ぶ影響をもたらす理由を浮き彫りにしています。
Chaya_004: 注目選手の登場
この脆弱性を悪用する脅威アクターの中には、中国を拠点としていると考えられるChaya_004と呼ばれるグループが存在します。このグループについては公にはあまり知られていませんが、研究者たちは、このSAP脆弱性に関連する様々な活動にこのグループが関与していると指摘しています。彼らの戦術には、Go言語ベースのリバースシェル「SuperShell」の導入に加え、 Cobalt Strike 、SoftEther VPN、ARL(Asset Reconnaissance Lighthouse)などのサイバー攻撃ユーティリティツールキットの利用が含まれます。
注目すべき発見の一つは、このグループがSuperShellバックドアをホストするIPアドレス(47.97.42[.]177)を使用していることです。このアドレスには、Cloudflareを装った特異な自己署名証明書も含まれています。これは、正規のサービスを模倣することで検出を回避しようとする試みであると考えられます。
サイバー犯罪者間の競争
脆弱性が公開されると、特に影響度の高い脆弱性は、競争が始まります。CVE-2025-31324も例外ではありません。公開後、複数のサイバー犯罪グループが攻撃に加わり、パッチ未適用のシステムを標的にしてWebシェルや、場合によっては暗号通貨マイニングソフトウェアを展開しています。こうした機会を狙った攻撃は、防御側が軽率な攻撃と、より標的を絞った戦略的な侵入を区別することを困難にし、状況をさらに複雑化させています。
このエクスプロイトに対する関心が高まっているということは、特にパッチの適用が遅れたり、システムの強化に失敗したりした場合に、脅威プロファイルがそれほど高くない組織でも標的になる可能性があることを意味します。
企業セキュリティへの影響
CVE-2025-31324の影響は個々の攻撃にとどまりません。リモートコード実行によってシステムが侵害されると、攻撃者は永続的なアクセスを維持し、機密データを抽出し、ネットワークを横断し、追加のマルウェアを展開することが可能になります。Brute Ratel C4などのエクスプロイト後ツールを使用する攻撃者もおり、長期的なスパイ活動やデータ窃取といった高度な目的を示唆しています。
SAP システムに中核的な運用データが含まれていることが多いグローバル ビジネス環境では、このような侵害の影響は、業務の混乱から規制上の影響まで、深刻なものになる可能性があります。
防衛と対応:組織がすべきこと
セキュリティ専門家は、早急な対応を強く推奨しています。SAPの公式パッチの適用は、最初の、そして最も重要なステップです。さらに、脆弱なメタデータアップローダーエンドポイントへのアクセスを制限し、Visual Composerサービスが使用されていない場合は無効化することを検討してください。特にWebシェルの痕跡など、不審な動作を常に監視することで、進行中または侵入の試みを検知するのに役立ちます。
Forescoutの研究者は、既にパッチが適用されているシステムであっても、攻撃者が修復前にウェブシェルをインストールしていた場合、依然としてリスクにさらされている可能性があると指摘しています。そのため、対応策には、システムログ、トラフィックパターン、エンドポイントの挙動を検証し、侵害の兆候を特定することが含まれます。
結論
CVE-2025-31324は、脅威アクターがいかに迅速に適応し、新たに発見された脆弱性を悪用できるかを強く印象づけるものです。世界中の企業がミッションクリティカルな機能をSAPに依存しているため、リスクは極めて大きいと言えます。この脆弱性は深刻ですが、明確な防御策が存在し、迅速かつ断固とした行動をとる組織はリスクを大幅に軽減できます。
サイバー脅威が急速に進化し続ける環境においては、常に情報を入手し、警戒を怠らず、積極的に行動することが最善の防御策となります。
