この記事で分かること
- SAPシステムが攻撃者に狙われる構造的な背景
- 過去に悪用された脆弱性と主な攻撃手法
- ランサムウェアや不正アクセスなどの具体的な脅威
- 実際に発生したインシデント事例とその教訓
- パッチ適用や多要素認証など必須のセキュリティ対策
企業の基幹システムであるSAPは、顧客情報や財務データなど重要資産を一元管理しているため、近年サイバー攻撃の格好の標的となっています。攻撃によるシステムダウンや情報漏洩は、企業の社会的信用を失墜させ、経営に甚大なダメージを与えかねません。
しかし、最新の脅威動向を正しく把握し、適切なパッチ管理や認証強化を行うことで、被害を未然に防ぐことは可能です。本記事では、SAPが狙われる理由や実際の被害事例を紐解き、企業が今すぐ講じるべき実践的なセキュリティ対策について網羅的に解説します。
SAPシステムがサイバー攻撃の標的となる背景
企業の基幹システム(ERP)として世界中で広く利用されているSAPシステムは、近年、サイバー攻撃の標的として狙われるケースが急増しています。かつてSAPシステムは、社内ネットワークの奥深くに配置され、インターネットとは遮断された「安全な領域」にあると考えられていました。しかし、デジタルトランスフォーメーション(DX)の進展やクラウド化に伴い、その環境は劇的に変化しています。
攻撃者がSAPシステムを執拗に狙う主な理由は、そこに企業の「心臓部」とも言える極めて重要なデータと業務プロセスが集中しているためです。SAPシステムがダウンすれば、受発注、生産、物流、会計といった主要な業務が停止し、企業活動そのものが麻痺する恐れがあります。攻撃者にとって、このようなシステムを人質に取ることは、身代金の要求や脅迫を行う上で非常に効率的な手段となります。
また、SAPシステムには顧客情報、従業員の個人情報、知的財産、財務データなど、換金価値の高い機密情報が大量に蓄積されています。セキュリティ企業のOnapsisなどの調査によれば、SAPシステムに対する攻撃活動は年々活発化しており、未修正の脆弱性が公開されてから攻撃が開始されるまでの時間も短縮傾向にあります。特に、クラウド環境や外部サービスとの連携が進む中で、インターネット経由での不正アクセスリスクが高まっています。
SAPシステムが攻撃を受けやすい構造的な背景として、以下の3つの要因が挙げられます。
- 攻撃対象領域(アタックサーフェス)の拡大
テレワーク対応やサプライチェーン連携、IoT活用などにより、SAPシステムが外部ネットワークと接続する接点が増加し、侵入経路が多様化しています。 - 脆弱性管理の難しさ
24時間365日の稼働が求められる基幹システムでは、セキュリティパッチ適用のためのシステム停止(ダウンタイム)を確保することが難しく、既知の脆弱性が長期間放置されやすい傾向にあります。 - 専門知識を持った攻撃者の増加
SAP特有のプロトコルや独自言語(ABAP)に関する知識を持つ攻撃者が増え、汎用的な攻撃ツールだけでなく、SAPを標的とした高度な攻撃手法が開発されています。
さらに、経済産業省が策定したサイバーセキュリティ経営ガイドラインでも指摘されているように、サプライチェーン全体を狙った攻撃が増加しており、大企業だけでなく、その取引先や子会社のSAPシステムが踏み台として狙われる事例も確認されています。企業は、SAPシステムがもはや「閉じた安全なシステム」ではないことを認識し、ゼロトラストを前提とした対策への転換を迫られています。
過去に確認されたSAPの脆弱性と攻撃手法
SAPシステムは企業の基幹業務を支える重要なプラットフォームであるため、サイバー攻撃者にとって魅力的な標的となります。過去に発見された脆弱性や攻撃手法を理解することは、適切なセキュリティ対策を講じるための第一歩です。ここでは、特に影響が大きかった事例や、近年確認された新たなリスクについて解説します。
認証機能やクラウド連携におけるリスク
企業のDX(デジタルトランスフォーメーション)推進に伴い、SAPシステムとクラウドサービスの連携が進んでいますが、それに伴う新たな脆弱性も確認されています。
2020年3月にバージョン7.2のUser Experience Monitoringにおける認証機能欠落により脆弱性が発見され(CVE-2020-6207、CVSSスコア〈10.0〉)、その後セキュリティパッチがリリースされましたが、パッチ未適用のシステムに対する攻撃が多数確認されました。そのため2021年4月、SAP社とセキュリティ企業Onapsis社がSAP Solution Managerに関してパッチ未適用のエンドユーザに注意喚起をおこないました。
また、近年ではクラウドセキュリティ企業Wizの調査により、SAP AI Coreにおける脆弱性が指摘されました。SAP AI Coreは、SAP Business Technology Platform上でAI資産を実行・運用するためのサービスです。
この調査によると、SAP AI Coreには、異なる利用者(テナント)のデータや、外部クラウドサービスへのアクセスが混在してしまう「テナント間隔離」の脆弱性が存在しました。攻撃者がこの脆弱性を悪用した場合、以下のリスクが生じる可能性がありました。
- ターゲットのSAP AI Coreを乗っ取る
- 顧客の機密情報やSAP HANA Cloudを含むクラウド環境の認証情報へ無許可でアクセスする
- 内部成果物を汚染し、他の顧客のクラウド環境へ侵入する
この脆弱性は「SAPwned」と呼ばれ、現在は修正済みですが、ハイブリッド環境における多層防御の重要性を浮き彫りにしました。AIモデルのトレーニングには大量の機密情報が使用されることが多いため、攻撃者にとって格好の標的となり得ることを認識する必要があります。
外部からの不正アクセスを許す脆弱性
設定ミスやコードの欠陥により、外部からSAPシステムへの侵入を許してしまう脆弱性も過去に大きな問題となりました。代表的なものとして「10KBLAZE」と「RECON」が挙げられます。
10KBLAZEは、2019年に公開されたエクスプロイト(脆弱性を攻撃するプログラム)です。これはソフトウェアのバグではなく、設定ミスによりインターネット上に意図せず公開されているSAPシステムを標的とします。当時の試算では約5万の組織が影響を受けるとされました。攻撃者はこの脆弱性を突くことで、SAPシステムのACL設定の不備により悪意あるコードを実行して機密情報の読み書きを行うことが可能になります。
一方、RECON(Remotely Exploitable Code On NetWeaver)は、2020年に特定された非常に深刻な脆弱性です(CVE番号「CVE-2020-6287」)。共通脆弱性評価システム(CVSS)スコアは10点満点中の10点と評価されました。この脆弱性は、SAP Netweaver Javaが導入されているデフォルトコンポーネントに存在する脆弱性です。RECONを悪用されると、攻撃者が未認証の管理者ユーザーを作成し、リモートでSAP製品全体を制御される恐れがあります。
過去に確認された主な脆弱性は下表のとおりです。
| 確認年 | 名称 | 概要とリスク |
|---|---|---|
| 2019年 | 10KBLAZE | 設定ミスを狙った攻撃。外部からの侵入や機密情報の操作が可能になる。 |
| 2020年 | RECON | NetWeaverの脆弱性。CVSSスコア10の最高危険度で、リモートからの完全制御を許す。 |
| 2021年 | Solution Managerの脆弱性 | 認証機能の欠陥。バージョン7.2で確認され、パッチ未適用の場合に攻撃を受ける。 |
| 2024年 | SAPwned (AI Core) | クラウド連携の脆弱性。顧客データへのアクセスやサプライチェーン攻撃のリスク。 |
これらの事例からも分かるように、SAPシステムは単体だけでなく、連携するクラウドサービスやネットワーク設定も含めた包括的なセキュリティ対策が求められます。
SAPを狙った主なサイバー攻撃の種類
企業の基幹システムであるSAPは、財務会計や人事、在庫管理など経営に直結する重要なデータを扱っています。そのため、サイバー攻撃者にとってSAPシステムは「宝の山」とも言える魅力的なターゲットです。攻撃者は金銭の獲得や企業の社会的信用の失墜、あるいは諜報活動などを目的として、さまざまな手法で攻撃を仕掛けてきます。
ここでは、特にSAPユーザーが警戒すべき代表的なサイバー攻撃の種類について解説します。主な攻撃手法とSAPシステムへの影響は下表のとおりです。
| 攻撃の種類 | 概要 | SAPシステムへの主な影響 |
|---|---|---|
| ランサムウェア | データの暗号化と身代金要求 | 基幹業務の停止、機密情報の二重搾取 |
| 不正アクセス | 認証情報の窃取となりすまし | データの改ざん、顧客・従業員情報の漏洩 |
| DDoS攻撃 | 大量アクセスによるシステムダウン | クラウド版SAPなどの利用不能、業務遅延 |
ランサムウェアによるデータ暗号化と金銭要求
ランサムウェアは、システムに侵入してデータを暗号化し、復号と引き換えに身代金を要求するマルウェアです。SAPシステムがランサムウェアに感染すると、会計処理や受発注業務などの基幹プロセスが完全にストップし、企業活動に甚大な被害をもたらします。
近年では、単にデータを暗号化するだけでなく、盗み出した機密情報を公開すると脅迫する「二重脅迫(ダブルエクストーション)」の手口が増加しています。SAPには顧客情報や技術情報などの重要資産が集約されているため、企業側が支払いに応じざるを得ない状況に追い込まれやすい傾向があります。
警察庁の報告によれば、ランサムウェアの被害件数は高止まりしており、復旧に1,000万円以上の費用を要したケースも少なくありません。侵入経路としては、VPN機器やリモートデスクトップからの侵入が多くを占めています。
ランサムウェアによる主な被害は以下のとおりです。
- 重要な業務データの暗号化によるシステム利用不可
- 業務停止に伴う売上機会の損失と復旧コストの増大
- 盗まれた機密情報のダークウェブ等へのリーク
参考:令和5年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
認証情報の窃取を目的とした不正アクセス
不正アクセスとは、アクセス権限を持たない第三者がシステム内部へ侵入する行為です。SAPシステムへの不正アクセスは、主に正規ユーザーのIDやパスワードを盗み出し、本人になりすましてログインする手口で行われます。
攻撃者は、フィッシングメールやパスワードスプレー攻撃(よく使われるパスワードを無作為に試す攻撃)、あるいはVPN機器の脆弱性を突いてネットワーク内に侵入します。一度SAPシステムへの侵入を許すと、権限昇格によってシステムの全権を掌握され、データの改ざんや破壊、外部への不正送金などが行われるリスクがあります。
また、盗まれた認証情報はダークウェブ上で売買されることもあり、さらなる攻撃の呼び水となる可能性があります。特に、長期間パスワードを変更していないアカウントや、多要素認証が導入されていない環境は狙われやすいため注意が必要です。
- フィッシング詐欺によるID・パスワードの詐取
- VPN装置などの脆弱性を悪用したネットワーク侵入
- 退職者アカウントの消し忘れを悪用した不正ログイン
システムダウンを狙うDDoS攻撃
DDoS攻撃(Distributed Denial of Service attack)は、攻撃者が乗っ取った複数の端末から対象のサーバーに対して一斉に大量の通信を送り付け、システムに過剰な負荷をかける攻撃です。これにより、正規のユーザーがシステムにアクセスできない状態(サービス拒否状態)に陥らせます。
SAP S/4HANA CloudなどのクラウドERPや、WebベースでアクセスするSAP Fioriなどを利用している場合、DDoS攻撃によってネットワーク帯域が埋め尽くされると、画面が表示されない、処理が極端に遅くなるといった障害が発生します。基幹システムが利用できなくなれば、現場の業務が滞り、サプライチェーン全体に影響が波及する恐れもあります。
従来のDoS攻撃とは異なり、DDoS攻撃は世界中の多数のIPアドレスから攻撃が行われるため、特定のIPを遮断するだけでは防御が困難な点が特徴です。
実際に発生したインシデント事例と教訓
SAPシステムへのサイバー攻撃は理論上のリスクにとどまらず、現実に世界中の組織で深刻な被害をもたらしています。攻撃者は既知の脆弱性を執拗に狙っており、わずかなセキュリティの隙が大きな損失につながります。
ここでは、過去に発生した象徴的な3つのインシデント事例を紹介し、そこから企業が学ぶべき教訓を解説します。
パッチ未適用による情報漏洩の事例
米国政府の身元調査サービスを提供していたUSIS(U.S. Investigations Services)は、2013年から2014年にかけて大規模なサイバー攻撃の被害を受けました。このインシデントでは、サードパーティが管理するSAPシステムの脆弱性が悪用され、攻撃者の侵入を許す結果となりました。
原因は、システムにセキュリティパッチが適用されていなかったこと、あるいはゼロデイ攻撃(修正プログラムが未公開の脆弱性を狙う攻撃)であったとされています。攻撃者は長期間にわたりネットワーク内に潜伏し、政府職員約2万5,000人分の個人情報が漏洩しました。
この事件により、USISは政府との契約を打ち切られ、最終的に破産申請に至るほどの甚大な経営的ダメージを受けました。この事例は、「内部システムだから安全」という過信が命取りになること、そしてサプライチェーンを含めたパッチ管理の徹底がいかに重要であるかを示しています。
サポートサイトへの攻撃による信頼低下の事例
大手半導体メーカーであるNVIDIAでは、2014年に同社のカスタマーケアポータルがサイバー攻撃を受け、サービスを一時停止する事態に追い込まれました。調査の結果、攻撃の原因はSAP NetWeaverの脆弱性であったことが判明しています。
問題となった脆弱性に対しては、SAP社からすでに修正パッチが提供されていました。しかし、同社では3年以上前に公開されたパッチを適用していなかったため、攻撃者にその隙を突かれる形となりました。幸い顧客データの流出は確認されませんでしたが、ポータルサイトが約2週間にわたりオフラインとなり、企業の信頼性が損なわれました。
多くの企業が「業務への影響」や「検証コスト」を懸念してパッチ適用を先送りにしがちです。しかし、この事例は、対策の遅れがシステム停止やブランド毀損という、より大きなコストを招くという教訓を与えています。
参照元:Nvidia takes customer site offline after SAP bug found
ハッカー集団による標的型攻撃の事例
2012年10月、ギリシア財務省が国際的なハッカー集団「アノニマス(Anonymous)」による標的型攻撃を受けました。これは記録に残る中では、SAPシステムに対する最初期の著名な攻撃事例の一つです。
アノニマスは犯行声明において、ギリシア財務省の機密情報や認証情報をリークしたとし、その手口として「SAPのゼロデイエクスプロイト(未知の脆弱性に対する攻撃コード)」を所持していると主張しました。実際にSAPの脆弱性が使われたのか、あるいは他の手段で侵入したのかについて詳細は完全に解明されていませんが、SAPシステムがハッカーにとって魅力的な標的であることが浮き彫りになりました。
この事例からの教訓は、SAPシステムが高度な技術を持つ攻撃者や組織的なハッカー集団のターゲットになり得るという事実を認識し、多層的な防御策を講じる必要があるということです。
各事例の概要と教訓のまとめ
紹介した3つの事例を整理すると、下表のとおりです。いずれのケースも、基本的な脆弱性対策の欠如やリスク認識の甘さが被害を拡大させています。
| 組織名 | 発生時期 | 主な原因 | 被害と影響 | 教訓 |
|---|---|---|---|---|
| USIS (米国捜査局) |
2013年 | パッチ未適用またはゼロデイ攻撃 | 職員2.5万人の情報漏洩 企業の破産・倒産 |
パッチ管理の徹底と サプライチェーンの保護 |
| NVIDIA | 2014年 | 3年前のパッチ未適用 | サイトの2週間停止 信頼性の低下 |
運用影響を理由にした 対策先送りのリスク |
| ギリシア財務省 | 2012年 | ゼロデイ攻撃の可能性 | 機密情報のリーク 認証情報の流出 |
標的型攻撃を想定した 高度な監視と防御 |
SAPユーザーが実施すべき具体的なセキュリティ対策
サイバー攻撃の手口は日々巧妙化しており、単一の対策だけではシステムを守り切ることが難しくなっています。SAPシステムを保護するためには、侵入を防ぐ対策だけでなく、侵入された場合に早期検知・対処するための対策を含めた「多層防御」の考え方が不可欠です。
ここでは、SAPユーザーが優先的に実施すべき具体的なセキュリティ対策を5つ紹介します。
セキュリティパッチの定期的な適用
SAPシステムに見つかった脆弱性を解消するために、メーカーから提供されるセキュリティパッチ(修正プログラム)を迅速かつ定期的に適用することが基本かつ最も重要な対策です。
SAP社は、毎月第2火曜日を「セキュリティパッチデー」と定めており、新たな脆弱性情報と修正パッチ(SAP Security Notes)を公開しています。攻撃者は公開された脆弱性情報を悪用して攻撃を仕掛けてくるため、企業側は情報の公開から実際の攻撃が始まるまでの「タイムラグ」をいかに短くするかが勝負となります。
パッチ適用にあたっては、業務への影響を最小限に抑えるため、以下の手順を徹底しましょう。
- 公開されたセキュリティノートの影響度(CVSSスコアなど)を確認し、優先順位を決定する
- 本番環境への適用の前に、必ず検証環境でテストを行い、動作に問題がないか確認する
- 適用計画を策定し、業務部門と調整の上で計画的にメンテナンスを行う
多要素認証によるログインセキュリティの強化
IDとパスワードのみの認証では、フィッシング攻撃やパスワードリスト攻撃によって認証情報が盗まれた場合、容易に不正アクセスを許してしまいます。これを防ぐために、多要素認証(MFA)の導入が強く推奨されます。
多要素認証とは、以下の3つの要素のうち2つ以上を組み合わせて本人確認を行う仕組みです。
- 知識情報:パスワード、PINコードなど(知っていること)
- 所持情報:スマートフォン、ICカード、ハードウェアトークンなど(持っていること)
- 生体情報:指紋、顔、静脈など(身体的特徴)
特に、リモートワークで利用されるVPN装置や、クラウドサービスと連携するインターフェース部分は攻撃の入り口となりやすいため、これらのアクセスポイントには必ず多要素認証を適用し、認証の強度を高める必要があります。
脆弱性情報の継続的な収集と管理
自社が利用しているSAP製品や、関連するOS、データベース、ミドルウェアに関する脆弱性情報を継続的に収集し、管理する体制を整えることも重要です。
脆弱性情報は、SAP社の公式サイトだけでなく、セキュリティ機関やベンダーが公開しているデータベースからも入手可能です。代表的な情報源として以下が挙げられます。
- JVN(Japan Vulnerability Notes):日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供するポータルサイト
- NVD(National Vulnerability Database):米国国立標準技術研究所(NIST)が運営する脆弱性データベース
- 製品ベンダーのセキュリティアドバイザリ
収集した情報は単に保存するだけでなく、自社システムへの影響有無を分析し、対策が必要なものについては担当部署へ速やかに展開するフローを確立しましょう。
フォレンジック調査による痕跡の確認
サイバー攻撃対策において、「侵入されているかもしれない」という前提でシステムを監視することは非常に重要です。攻撃者は侵入後、長期間にわたって潜伏し、機密情報の窃取やシステム破壊の機会をうかがうことがあります。
実際に、株式会社サイバーセキュリティクラウドの調査によると、サイバー攻撃の発生から発覚までに要する期間は平均397日にも及ぶことが明らかになっています。1年以上もの間、被害に気づかないケースも珍しくありません。
こうした事態を防ぐために、定期的なログの監査や、不審な挙動があった際のフォレンジック調査(デジタル鑑識)が有効です。フォレンジック調査では、PCやサーバー、ネットワーク機器に残されたログやデータを解析し、不正アクセスの痕跡や被害範囲を特定します。早期に痕跡を発見できれば、被害を最小限に食い止めることが可能です。
専門的な運用サービスの活用
SAPシステムのセキュリティ対策は多岐にわたり、専門的な知識と継続的な運用監視が求められます。しかし、社内のIT担当者だけで最新の脅威情報の収集、パッチ適用の検証、24時間365日の監視体制を維持することは、リソースやコストの面で限界がある場合も少なくありません。
そのような場合は、SAPの運用に特化した専門サービスの活用を検討すべきです。専門の運用サービスを利用することで、以下のようなメリットが得られます。
- 高度な監視体制:システム監視やビジネスプロセス監視の自動化により、異常を早期に検知できる
- 専門家による支援:障害発生時やセキュリティインシデント発生時に、経験豊富なコンサルタントのサポートを受けられる
- 運用の効率化:移送管理やキャパシティ管理などの定常業務をアウトソースし、社内リソースをコア業務に集中させることができる
セキュリティ対策は一過性のものではなく、継続して行う必要があります。自社のリソースだけで抱え込まず、信頼できるパートナーと連携し、システムと人の両面から強固なセキュリティ体制を構築することが、企業の重要な資産を守る鍵となります。
SAPのサイバー攻撃に関するよくある質問
SAPシステムは一般的なファイアウォールだけで防御できますか?
一般的なファイアウォールだけでは不十分です。SAP特有のプロトコルやアプリケーション層を狙った攻撃を防ぐには、SAP専用のセキュリティ対策や設定が必要です。
セキュリティパッチはどのくらいの頻度で適用すべきですか?
SAP社から毎月公開されるセキュリティパッチ(SAP Security Notes)を確認し、可能な限り速やかに適用することが推奨されます。
クラウド版のSAPならサイバー攻撃のリスクはありませんか?
クラウド版でもリスクはゼロではありません。インフラの安全性はベンダーが担保しますが、アクセス権限や設定の管理はユーザー企業の責任範囲となるため対策が必要です。
SAPへの攻撃を受けるとどのような被害が発生しますか?
機密情報の漏洩やデータの改ざん、ランサムウェアによるシステム停止、それに伴う事業の停滞や社会的信用の失墜といった被害が想定されます。
既存のSAPシステムに多要素認証を導入することは可能ですか?
可能です。SSO(シングルサインオン)ツールとの連携や、SAP標準機能の設定変更により、ログイン時のセキュリティを強化できます。
まとめ
企業の基幹業務を支えるSAPシステムは、サイバー攻撃の格好の標的となっており、ひとたび被害に遭えば事業停止や社会的信用の失墜に直結します。
攻撃手法は年々高度化していますが、多くの事例はパッチ未適用やパスワード管理の甘さといった基本的な脆弱性を突かれたものです。したがって、セキュリティパッチの迅速な適用や多要素認証による本人確認の強化を徹底することが、最も有効な防御策となります。自社だけで高度なセキュリティ運用を維持するのが困難な場合は、専門家の支援を仰ぐことも検討すべきです。
当社はSAPのスペシャリストとして、豊富な知見と実績をもとに、最適なソリューションをご提案します。
SAPに関するご相談やお見積りのご依頼は、ぜひお気軽にリアルテックジャパンにお問い合わせください。
