【CVE-2024-34691】SAP S/4 HANAに認証欠如の脆弱性、情報改ざんのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
SAP S/4 HANAの認証欠如脆弱性が発見
SAP S/4 HANA脆弱性の影響まとめ
認証の欠如（CWE-862）について
SAP S/4 HANAの脆弱性に関する考察
参考サイト

記事の要約

SAP S/4 HANAに認証の欠如の脆弱性が存在
CVSSスコア6.5の警告レベルの脆弱性
影響を受けるバージョンは103から108まで

SAP S/4 HANAの認証欠如脆弱性が発見

2024年6月11日、SAPのS/4 HANAに認証の欠如に関する脆弱性が存在することが明らかになった。この脆弱性は、CVE-2024-34691として識別されており、CWEによる脆弱性タイプは認証の欠如（CWE-862）に分類されている。NVDの評価によると、CVSSスコアは6.5で警告レベルとされており、攻撃元区分はネットワークで、攻撃条件の複雑さは低いとされている。^[1]

この脆弱性の影響を受けるのは、SAP S/4 HANAのバージョン103から108までと、s4core 102である。攻撃に必要な特権レベルは低く、利用者の関与は不要とされており、影響の想定範囲に変更はないものの、完全性への影響が高いと評価されている。これは、攻撃者が認証をバイパスして不正なアクセスを行い、情報を改ざんする可能性があることを示唆している。

SAPは本脆弱性に対するセキュリティアップデートを公開しており、影響を受ける可能性のあるユーザーに対して、速やかな対応を呼びかけている。具体的な対策方法については、SAPのサポートポータルで公開されているセキュリティノートを参照することが推奨されている。組織のセキュリティ担当者は、この脆弱性の重要性を認識し、適切なパッチ適用やシステム更新を行うことが求められる。

SAP S/4 HANA脆弱性の影響まとめ

	詳細
CVE ID	CVE-2024-34691
影響を受けるバージョン	S/4 HANA 103-108, s4core 102
CVSSスコア	6.5（警告）
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低
必要な特権レベル	低
利用者の関与	不要

認証の欠如（CWE-862）について

認証の欠如（CWE-862）とは、システムがユーザーの身元を適切に確認せずに重要な操作を許可してしまう脆弱性のことを指しており、主な特徴として以下のような点が挙げられる。

ユーザーの身元確認プロセスが不十分または存在しない
認証をバイパスして不正なアクセスが可能になる
機密情報の漏洩や不正な操作のリスクが高まる

SAP S/4 HANAの脆弱性では、この認証の欠如により、攻撃者が正規のユーザーになりすまして情報を改ざんする可能性が指摘されている。CVSSスコアが6.5と比較的高いことから、この脆弱性の影響は軽視できず、早急な対策が必要とされる。組織は、認証メカニズムの強化や多要素認証の導入など、包括的なセキュリティ対策を検討する必要がある。

SAP S/4 HANAの脆弱性に関する考察

SAP S/4 HANAの認証欠如脆弱性は、企業の基幹システムに直接影響を与える可能性があり、その重要性は看過できない。特に、ERPシステムの中核を担うS/4 HANAに関する脆弱性であることから、財務データや顧客情報など、企業の機密情報が不正アクセスや改ざんのリスクにさらされる可能性がある。このような状況下で、企業はセキュリティ対策の見直しと強化を急ぐ必要があるだろう。

今後、SAPユーザー企業にとっては、パッチ適用の迅速性と、それに伴う業務への影響のバランスが課題となる可能性が高い。大規模なERPシステムの更新は、慎重な計画と実行が求められるため、セキュリティチームとビジネス部門の緊密な連携が不可欠となる。また、このような脆弱性が公開されたことで、SAPシステムを狙ったサイバー攻撃が増加する可能性も考えられ、継続的な監視と迅速な対応体制の構築が重要となるだろう。

長期的な視点では、クラウドベースのERPソリューションへの移行や、ゼロトラストアーキテクチャの採用など、より強固なセキュリティ基盤の構築が求められる可能性がある。SAPもこうした市場ニーズに応えるべく、セキュリティ機能の強化や、より柔軟なアップデート方法の提供など、製品戦略の見直しを迫られる可能性がある。ユーザー企業は、こうした動向を注視しつつ、自社のITインフラストラクチャのセキュリティ強化を継続的に推進していく必要があるだろう。