【CVE-2024-37172】SAP S4COREに認証欠如の脆弱性、情報漏洩とDoSのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
SAP S4COREの認証欠如脆弱性が発見
SAP S4CORE脆弱性の詳細
認証の欠如について
SAP S4COREの脆弱性に関する考察
参考サイト

記事の要約

SAP S4COREに認証欠如の脆弱性
CVSS基本値5.4の警告レベル
情報取得やDoS状態のリスクあり

SAP S4COREの認証欠如脆弱性が発見

SAP社は、同社のS4COREに認証欠如に関する脆弱性が存在することを2024年9月10日に公開した。この脆弱性は、CVE-2024-37172として識別されており、CWEによる脆弱性タイプは認証の欠如（CWE-862）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされている。^[1]

この脆弱性の影響を受けるバージョンは、S4CORE 107およびS4CORE 108である。攻撃に必要な特権レベルは低く、利用者の関与は不要とされており、影響の想定範囲に変更はないとされている。機密性への影響は低く、完全性への影響はないが、可用性への影響は低いと評価されている。

想定される影響として、情報を取得される可能性やサービス運用妨害（DoS）状態にされる可能性が指摘されている。対策としては、ベンダアドバイザリまたはパッチ情報が公開されているため、参考情報を参照して適切な対策を実施することが推奨されている。この脆弱性に関する詳細情報は、National Vulnerability Database (NVD)やSAPのセキュリティパッチデイの文書で確認できる。

SAP S4CORE脆弱性の詳細

項目	詳細
脆弱性ID	CVE-2024-37172
影響を受けるバージョン	S4CORE 107, S4CORE 108
CVSS基本値	5.4 (警告)
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低
想定される影響	情報取得、サービス運用妨害（DoS）

認証の欠如について

認証の欠如とは、システムやアプリケーションがユーザーの身元を適切に確認せずにアクセスを許可してしまう脆弱性のことを指しており、主な特徴として以下のような点が挙げられる。

ユーザーの身元確認プロセスが不十分または欠如
認証されていないユーザーが保護されたリソースにアクセス可能
セキュリティ境界の無効化や迂回を許してしまう

この脆弱性は、攻撃者が正規ユーザーになりすまして重要な情報にアクセスしたり、システムに不正な変更を加えたりする可能性を生む。SAP S4COREの場合、この脆弱性により攻撃者が認証をバイパスし、本来アクセスできないはずの情報を取得したり、システムのリソースを消費してサービス妨害状態を引き起こしたりする危険性がある。

SAP S4COREの脆弱性に関する考察

SAP S4COREにおける認証欠如の脆弱性の発見は、企業のビジネスクリティカルなシステムのセキュリティ強化の重要性を再認識させる契機となった。CVSSスコアが5.4と中程度であることから、即時の対応が必要というわけではないが、攻撃条件の複雑さが低いことを考慮すると、早急な対策が望ましい。この問題は、大規模なERPシステムにおけるセキュリティ設計の難しさを浮き彫りにしている。

今後、この脆弱性を悪用した攻撃が増加する可能性があり、特に多層的な認証メカニズムの実装や、最小権限の原則に基づいたアクセス制御の徹底が求められるだろう。SAPユーザー企業は、この脆弱性に対するパッチの適用を急ぐとともに、自社システムの認証プロセス全体を見直す良い機会と捉えるべきだ。長期的には、AIを活用した異常検知システムの導入や、ゼロトラストアーキテクチャの採用なども検討に値する。

SAPには、今回の脆弱性の教訓を活かし、製品開発プロセスにおけるセキュリティテストの強化や、脆弱性情報の迅速な公開と修正パッチの提供体制の改善が期待される。また、ユーザー企業向けのセキュリティベストプラクティスガイドの提供や、セキュリティ意識向上のためのトレーニングプログラムの拡充なども有効な施策となるだろう。業界全体として、このような事例を共有し、ERPシステムのセキュリティ向上に向けた継続的な取り組みが求められる。