近年サイバー攻撃はますます巧妙になっており、攻撃の手段や目的について最新の傾向を知ってはじめて、有効な対策を取ることが可能になります。本記事では、SAPユーザーが考慮したいセキュリティ対策について解説します。
SAPの脆弱性を狙ったサイバー攻撃が展開されている
2021年4月、SAP社とサイバーセキュリティ企業のOnapsis社が、共同でサイバー攻撃に関する注意喚起を行いました。これはSAP社が提供するSAP Solution Managerに脆弱性が発見された問題と、さらにその脆弱性を狙ったサイバー攻撃が確認されたためです。
脆弱性はバージョン7.2に存在するもので、End User Experience Monitoringの認証機能で確認されました。
セキュリティパッチを適用により解消されましたが、昨今においても脆弱性を狙ったサイバー攻撃には注意が必要です。
昨今では、クラウド企業WIZの発表により、SAP AI Coreに脆弱性があったことが判明しています。SAP AI Coreとは、SAP Business Technology Platformに備わるAI資産の実行や運用のためのサービスです。
同社の調査によれば、SAP AI Coreにはアクセスキーを使って外部のクラウドサービスの内部データにアクセスする機能があります。脆弱性を利用することで、攻撃者はターゲットのSAP AI Coreを乗っ取り、顧客の機密情報やSAP HANA Cloudなどを含むクラウド環境の認証情報に無許可でアクセスすることが可能です。ほかには内部成果物を汚染したり、ほかの顧客のクラウド環境に侵入したりできる可能性もありました。この脆弱性はSAPによってすでに修正済みです。
同社は調査結果を踏まえて多層防御の重要性を訴えています。さらに、AIモデルのトレーニングは機密性が高い情報を大量に利用する場合があります。このため、AIトレーニングサービスはサイバー攻撃者にとって魅力的なターゲットとして認識されやすい点も知っておきましょう。
また、前出のOnapsis社の見解では、同調査についてハイブリッドな環境においての総合的なセキュリティの必要性を実証しているとしています。SAPを含むさまざまなクラウドサービスを組み合わせる環境は、ユーザーの利便性を向上させます。その反面、サービスを組み合わせることによって多くの脆弱性とセキュリティリスクを生じる可能性があり、総合的なセキュリティ対策が必要になります。
SAPの脆弱性をついたエクスプロイトやコードの種類
前述した脆弱性以外で話題になったSAPの脆弱性について以下で解説します。
2019年:10KBLAZE
10KBLAZEとは、2019年に公開されたSAPの脆弱性を突くエクスプロイトです。エクスプロイトとは、ソフトウェアなどに存在する脆弱性を狙って攻撃するプログラムを指します。
10KBLAZEは、設定ミスで意図せずにインターネットに公開されているSAPシステムを狙います。当時のOnapsis社の試算では約5万の組織と約90万のSAPシステムに影響を与えるとしていました。SAP上で10KBLAZEが実行されると、SAP以外のアプリケーションとの通信が許可される可能性があります。その後、悪意のあるコードが実行されることによってサイバー攻撃者がシステムに侵入できるようになります。サイバー攻撃者は侵入先で機密情報を読み込んだり書き込んだりすることが可能です。
2020年:RECON
RECON(Remotely Exploitable Code On NetWeaver)とは、2020年に特定されたSAPの脆弱性です。共通脆弱性評価システムであるCVSSのスコアは10点満点中の10点と評価されました。この10点は最も深刻であることを意味し、非常に稀なケースでもあります。
RECONの脆弱性は悪用のしやすさが特に問題視されました。SAP S/4HANAなどの広く利用されているSAP製品のデフォルトコンポーネントに存在していたからです。RECONを悪用すると、サイバー攻撃者がリモートでSAPの全製品を制御できます。Onapsis社が出した当時の試算では、4万以上のSAP顧客が影響を受ける可能性があるとしていました。
サイバー攻撃の目的
近年、多くのサイバー攻撃が観測されています。その目的も金銭やシステム破壊、信用失墜など、攻撃者によってさまざまです。詳細については以下で解説します。
企業からの金銭搾取
2019年に大きな問題となったQRコード決済7pay(セブンペイ)の不正アクセスは、金銭奪取が主な目的でした。不正チャージや不正利用により4,000万円近くの被害が確認されており、株式会社セブン・ペイは被害金額を全額補償することになりました。それだけにとどまらず、企業側はサービスの停止と信用の失墜という二つのダメージを負ってしまいました。
このようにサイバー攻撃では、複数の問題に波及することが多々あります。攻撃者の目的が何にせよ、サイバー攻撃の被害者になった企業にとってはそれ以上に大きな被害となることがあります。
機密情報の取得および売買
2024年には、KADOKAWAグループの子会社ドワンゴが運営するニコニコ動画がサイバー攻撃を受けました。攻撃の種類は身代金要求型のランサムウェア攻撃です。被害は、サイバー攻撃者の表明によれば1.5TB分のデータを盗んだと主張しており、データの内容は取引先や従業員、サービスユーザーなどの個人情報です。個人情報はダークウェブ上で公開されており、個人情報の流出になりました。サイバー攻撃者に盗まれた機密情報は売買の対象になることもあります。
サイバー攻撃者には、犯罪グループや産業スパイ、退職者を含む悪意ある組織の職員、組織化されたクラッカー集団や諜報員が関わっていることもあります。高度な技術を有している場合もあり、機密情報を守るにはシステムの適切な管理が不可欠です。
SAPを標的としたサイバー攻撃のインシデント事例
SAPが標的になったサイバー攻撃のインシデント事例を以下で三つ紹介します。SAPはサイバー攻撃の対象になりやすいシステムであり、セキュリティ対策の重要性を再認識できます。
米国捜査局(USIS)
米政府に身元調査サービスを提供していた業者であるUSISでは、SAPソフトウェアの脆弱性を利用され、中国のハッカーに侵入される事案が発生しました。侵入された原因は、組織内で使用されていたSAPの修正パッチが未適応になっていたか、ゼロデイ攻撃があったためとされています。
サイバー攻撃者は2013年末にUSISネットワークにアクセスし、2014年6月まで事態は発覚しませんでした。6カ月間誰にも気づかれないまま機密情報にアクセスできる状態であり、政府職員等2万5,000人の個人情報が漏洩したと言われています。
これについてOnapsis社は、SAPシステムの保護が重要であること、企業内部で使用されているビジネスアプリケーションが隔離されていると考えるべきではないことを指摘しています。
NVIDIA
米国の大手半導体メーカーであるNVIDIAの事例では、3年以上前に公開されているSAPのパッチをカスタマーサービスのサイトに適用していなかったため、2014年1月に脆弱性を突かれてサイバー攻撃を受けました。攻撃による情報漏洩は無かったものの、カスタマーケアポータルが2週間オフラインになったことで同社の信頼性が下がる影響が出ています。
セキュリティパッチの適用は、業務への影響や時間と費用の浪費を懸念して先送りにする企業が意外に多いです。しかし、事例でも分かるように、適用を怠るとマルウェアの感染やサイバー攻撃による情報漏洩、信用性の低下を招くリスクがあります。
ギリシア財務省
ギリシア財務省の事例は2012年10月に発生した事案であり、記録に残る中では最も古いSAPに対するサイバー攻撃です。攻撃者であるハッカー集団アノニマスは、ギリシア財務省の機密情報と認証情報を公開しました。
当時、ハッカー集団はSAPのゼロデイエクスプロイトを所持していると主張していました。しかし、実際にはSAPシステムに侵入した方法は完全には明らかになっていません。前述した事例でも分かるように、SAPシステムはハッカーが興味を持ちやすい侵入先であり、十分なセキュリティ対策をすることが重要です。
SAPユーザーが警戒すべきサイバー攻撃
代表的なものとしては「ランサムウェア」や「DDoS攻撃」などが挙げられます。
ランサムウェア
ランサムウェアは身代金要求型のマルウェアです。その手口は、企業のシステムに侵入してデータを使用できないようにし、元に戻すことと引き換えに金銭を要求するという方法で行われます。データが暗号化されることがあるほかにPC操作ができなくなる場合もあり、その影響で業務の一時停止に追い込まれた事例があります。データの利用制限と金銭要求という二重の被害を受ける恐ろしさがあるサイバー攻撃です。
警察庁が発表したサイバー攻撃の資料では、2023年に報告があった企業・団体などのランサムウェアの被害件数は197件です。被害調査や復旧にかかった金額は、回答があった118件のうち1,000万円以上要したものが44件で37%を占めており、莫大な被害が発生していることがわかります。
ランサムウェアの侵入経路は、回答があった115件のうちVPNからの不正侵入が最多の73件(63%)で、次いでリモートデスクトップからの侵入が21件(18%)です。メールの添付ファイルによる感染は6件(5%)となっており、ほとんどが不正な侵入であることがわかります。
※P25~P26をご参照ください。
不正アクセス
不正アクセスとは、システムの利用権限のない人間が不正にアクセスし、何らかの悪さを行うことです。たとえば、ログイン機能のあるサービスで他人のIDやパスワードを使用して侵入したり、企業のシステムに外部の人間や権限のない人間がアクセスしたりする事例が考えられます。
ランサムウェアの問題にもあるように、VPNやリモートデスクトップから不正侵入することでシステムの改ざんを行っている例があります。被害としては、データ漏洩やシステム改ざん、システム破壊、金銭奪取などが挙げられます。これらは、企業の信用低下にも繋がるため絶対に避けたい問題です。
また、近年ではサイバー攻撃者が、不正アクセスに繋がる企業の脆弱性情報をダークウェブで公開する場合があります。ダークウェブとは、検索など通常の方法ではアクセスできないウェブサイトを指します。ダークウェブにアクセスするには「Tor」「I2P」といった専用ソフトウェアの利用が必要です。
ダークウェブに漏洩した事例として、社内に設置していたVPN装置の設定情報(IPアドレス、認証IDであるメールアドレス)を盗まれて、ダークウェブに公開されてしまったケースがあります。VPN装置自体に外部から不正にファイル読み取りできる脆弱性が存在しており、それを悪用したサイバー攻撃です。同事例ではパスワードの暗号化と二要素認証の導入によって侵入の被害を受けることはありませんでしたが、VPN装置自体の脆弱性対策を怠ったことが情報漏洩につながりました。このケースの有効な対策として、VPN機器のファームウェアバージョンアップや利用状況の変化に合わせた脆弱性診断の実施が挙げられます。
DDoS攻撃
DDoS攻撃は、企業のシステムに高負荷をかけてシステムをダウンさせるというサイバー攻撃です。元々この手法の攻撃は、DoS攻撃と呼ばれていました。キーボードのF5を使用したF5アタックが有名で、Webサイト上でF5を連打してページを何度も読み込ませて高負荷をかけるという手法です。この手法では、攻撃者が特定できるため、IPアドレスを元にアクセスを遮断すれば簡単に対策が可能です。
そこで新しい攻撃手段として、複数の端末から一気に負荷をかけるDDoS攻撃が誕生しました。この攻撃では、不正に乗っ取った端末(IoTなど)からシステムに一斉にアクセスするため、IPアドレスによる制限ができません。
SAPユーザーが取るべきセキュリティ対策
では、実際サイバー攻撃を防ぐために、どのような対策をとればよいのでしょうか。
セキュリティパッチの適用
サイバー攻撃を防ぐためにも、セキュリティパッチの適用を業務のスケジュールに組み込むようにしましょう。
ITシステムのサービスを提供する企業は、必ずシステムのアップデートやセキュリティに関するパッチを定期的にリリースしています。システムにある脆弱性の修正や新しい脅威に対応するためです。
SAPも同様で、アップデートやセキュリティパッチをリリースしています。これを適用することは、同社サービスを利用する上で簡単に行える最大限のセキュリティ対策です。また、毎月第2火曜日には、セキュリティノートをリリースしているので、必ず確認するようにしましょう。
フォレンジック調査の実施
フォレンジック調査は、簡潔に説明するとサイバー攻撃の証拠を探す調査です。元々は事件があった際に法的証拠となるものを探す鑑識調査などのことを指しました。いまではサイバー犯罪にも適用して「コンピューターフォレンジック」や「デジタルフェレンジック」と呼んでいます。
フォレンジックは、PC・モバイル端末、ネットワークに分けて調査を行います。PCやモバイル端末のデータ、ログ、通話・アプリの履歴、ネットワークのパケットなど、さまざまな箇所からサイバー攻撃の痕跡を探していくわけです。フォレンジック調査が必要となるケースとしては、個人情報などの不正な持ち出しや、コンピュータウイルス感染などが挙げられます。
サイバー攻撃は、被害に遭えばすぐにわかるというイメージがありますが、実際にはすぐに気づかないことも多くあります。株式会社サイバーセキュリティクラウドが2024年に発表した調査結果では、サイバー攻撃の被害にあった企業が攻撃発生から攻撃を認知するまでに、平均397日かかることが明らかになっています(調査対象期間:2022年1月1日~2023年11月30日)。このように1年以上気づかないことが珍しくないため、フォレンジック調査は必要不可欠です。
多要素認証の導入
多要素認証とは、ログイン時に2種類以上の要素を使用して認証する方法のことです。一般的にログインといえばIDとパスワードですが、多要素認証では知識・所持・生体という3要素を一緒に組み合わせてセキュリティ性を高めます。
例えば、IDとパスワードは知識要素に該当します。そこに生体要素である指紋認証を組み合わせることでセキュリティを強力にすることが可能です。近年、サイバー攻撃の手法が複雑化・高度化しているため、単純な認証方法では対応できなくなってきています。そこで、新たな脅威に対応する手段として多要素認証を採用し、認証自体を強化することが重要です。
多要素認証についてはこちらの関連記事で詳しく解説しています。
脆弱性情報の収集
脆弱性を放置していると、サイバー攻撃者に悪用されて情報漏洩などの被害を受ける可能性があります。被害を防ぐには、脆弱性にいち早く対応することが重要です。
脆弱性対策をするには対策が必要なシステムとバージョン、影響の度合い、対策方法について知る必要があります。脆弱性情報を収集する際は、ニュースやセキュリティ情報の発信サイト、製品ベンダーのサイトを確認しましょう。
それ以外では脆弱性情報を公開している団体のデータベースを参考にする方法もあります。代表的な脆弱性情報データベースとして以下が挙げられます。
- JVN
- JVN ipedia
- NVD
上記のデータベースでは影響を受けるシステムやバージョン、脆弱性の深刻度、修正情報などを確認可能です。データベースで自社に関連するシステムを検索し、関係がある脆弱性情報が公開されていたら自社への影響を分析し、必要に応じて対策しましょう。脆弱性情報をこまめに収集することで、セキュリティ性の向上やセキュリティリスク特定の迅速化、システムへの反映の効率化などのメリットがあります。
リアルテックのSAP運用サービス
システム運用担当者にとって、セキュリティ対策は重要です。しかしながら、運用監視やトラブル対応などその他の業務でも手が足りない状況はどの企業でも悩みのひとつです。システム運用を円滑にすすめる上で知見にとんだビジネスパートナーがいるだけで、安心して業務に専念できるのではないでしょうか。
リアルテックでは、SAPの運用サービスを行っています。「SAP Solution Manager System Monitoring」、「SAP Business Process Automation by Redwood」、リアルテックの「the Guard! SmartChange」の「Transport Management」など、さまざまなシステムを使用することで効率的かつ高品質な運用と管理が可能です。
さらに障害などの問題があったときには、専門のコンサルタントが担当することで、システムと人の両面からSAPシステムの運用サポートを行います。これによりユーザー・移送・キャパシティの管理、ビジネスプロセス・システムの監視など、運用に関わる企業の負担を解放します。
アプリケーション障害やパフォーマンス低下の調査、運用手順策定、コンプライアンスに関わる権限の見直し、移送運用効率化など、運用に関わる問題を抱えている場合はいつでもご相談ください。
まとめ
設計ミスや不具合が原因でシステムに脆弱性が発生することがあります。SAPシステムも同じで、潜んでいた脆弱性が、サイバー攻撃や企業の調査をきっかけにして発見されることがあります。脆弱性が発見されたときは、製品ベンダーによってセキュリティパッチが提供されます。ユーザーはシステムにパッチを適用することで脆弱性を修正することが可能です。
また、サイバー攻撃の被害にあっていてもすぐに気づかない可能性があります。そのためフォレンジック調査を行って、攻撃を受けた痕跡がないか探すことも重要です。対策をとっておけば、リアルタイムでサイバー攻撃を防ぐことも可能です。
- カテゴリ: SAP情報
- キーワード:sap 脆弱性、サイバー攻撃対策