セキュリティ

SECURITY

公開：2024-11-16

【CVE-2024-37179】SAP BusinessObjects BIプラットフォームに深刻な脆弱性、認証済みユーザーによる不正アクセスのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• SAP BusinessObjects BIプラットフォームに深刻な脆弱性
• 認証済みユーザーによるファイルダウンロードの危険性
• 機密性への重大な影響が懸念される問題を確認

SAP BusinessObjects BI Platform Web Intelligenceの脆弱性

SAPは2024年10月8日、SAP BusinessObjects Business Intelligence Platform（Web Intelligence）において、認証済みユーザーが特別に細工されたリクエストを送信することで任意のファイルをダウンロードできる脆弱性【CVE-2024-37179】を公開した。この問題はCVSS v3.1で7.7（High）と評価されており、機密性に重大な影響を及ぼす可能性が指摘されている。^[1]

この脆弱性は、Web Intelligence Reporting Serverに対して特別に細工されたリクエストを送信することで、サービスをホストしているマシンから任意のファイルをダウンロードできる問題を引き起こす。脆弱性の影響を受けるバージョンはENTERPRISE 420、430、2025、およびENTERPRISECLIENTTOOLS 420であることが確認されている。

SAPはこの脆弱性に対するセキュリティパッチを提供しており、影響を受けるシステムの管理者に対して早急な対応を推奨している。SSVCによる評価では、この脆弱性の自動化可能性は「none」とされているものの、技術的な影響は「partial」と評価されており、早急な対応が必要とされている。

SAP BusinessObjects BIプラットフォームの脆弱性詳細

脆弱性の詳細はこちら

認証済みユーザーについて

認証済みユーザーとは、システムやアプリケーションに対して正規の手続きを経てアクセス権を付与された利用者のことを指す。主な特徴として、以下のような点が挙げられる。

• ユーザー名とパスワードによる認証プロセスを完了
• システムから特定の権限を付与されている
• アクセスログが記録・追跡可能

SAP BusinessObjects Business Intelligence Platformにおける今回の脆弱性では、認証済みユーザーが特別に細工されたリクエストを送信することで、本来アクセスできないはずのファイルにもアクセスできてしまう。認証済みユーザーによる不正アクセスは、正規のアクセス権限を悪用するため、検知が困難になる可能性が高いとされている。

SAP BusinessObjects BIの脆弱性に関する考察

SAP BusinessObjects BIプラットフォームの脆弱性対策として、アクセス権限の厳格な管理とモニタリングの強化が不可欠である。特に認証済みユーザーによる不正アクセスを防ぐためには、ゼロトラストセキュリティの考え方に基づき、認証後のアクセス権限も必要最小限に制限することが重要となるだろう。

今後は機械学習を活用した異常検知システムの導入や、ファイルアクセスの追跡機能の強化が求められる。特にビジネスインテリジェンス分野では機密性の高いデータを扱うことが多いため、多層的な防御戦略の構築が必要不可欠だ。

また、脆弱性対策の効果を最大限に高めるためには、セキュリティパッチの適用だけでなく、ユーザー教育の徹底も重要となる。定期的なセキュリティトレーニングの実施や、インシデント対応手順の明確化により、人的要因によるリスクを最小限に抑えることが期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-37179, (参照 24-11-16).
2. Intel. https://www.intel.co.jp/content/www/jp/ja/homepage.html
3. SAP. https://www.sap.com/japan/index.html

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧