【ITニュース解説】Critical SQL Injection in Chanjet T+ ERP Could Lead to RCE

システムエンジニアを目指す皆さんに、今日のITニュースから重要な情報をお伝えする。アジアで広く使われている企業向けの業務管理システム「Chanjet T+ ERP」において、深刻なセキュリティ上の問題が発見されたというニュースだ。この問題は「SQLインジェクション」という種類の脆弱性で、これを悪用されると「リモートコード実行（RCE）」という非常に危険な状態に陥る可能性がある。

まず、「Chanjet T+ ERP」について簡単に説明する。これは、企業の経理、営業、仕入れ、在庫管理といった多岐にわたる業務を統合的に管理するためのシステムだ。多くの企業がビジネスの基盤として利用しており、もしこのシステムに脆弱性があると、企業の重要なデータが漏洩したり、システムそのものが乗っ取られたりする恐れがある。

今回の問題の核心にある「SQLインジェクション」とは何か。これは、データベースと連携するウェブアプリケーションでよく見られる攻撃手法の一つだ。ウェブサイトやアプリケーションは、ユーザーが入力した情報（例えば、ログインIDや検索キーワードなど）を受け取り、それを元にデータベースに命令（SQL文という）を送って情報を取得したり、保存したりする。本来であれば、ユーザーが入力した情報はデータとしてのみ扱われるべきだが、もしアプリケーションがユーザー入力を適切にチェックせず、そのままSQL文の一部として利用してしまうと、悪意のあるユーザーが意図しないSQL文を挿入できるようになる。この「意図しないSQL文の挿入」が「SQLインジェクション」と呼ばれる。

例えば、ユーザーIDとパスワードを入力するフォームがあったとする。通常は「'admin' AND password = 'password'」といった情報がデータベースに渡される。しかし、攻撃者がユーザーID欄に「' OR '1'='1」のような文字列を入力すると、アプリケーションがこの入力を適切に処理しない場合、データベースに送られるSQL文が「ユーザーIDが'admin'であるか、または'1'が'1'である（常に真）」というような、本来の意図とは異なる形に変わってしまう。これにより、正規の認証情報がなくてもシステムにログインできてしまう、といった事態が発生する。

今回のChanjet T+の脆弱性では、このようなSQLインジェクションが、最終的に「リモートコード実行（RCE）」に繋がる可能性がある点が特に深刻だ。RCEとは、攻撃者が遠隔地から、標的のサーバー上で任意のプログラムやコマンドを実行できてしまう状態を指す。つまり、攻撃者はシステムを完全に制御し、データの窃取、改ざん、システムの停止、さらには他のシステムへの攻撃の踏み台にするといった、あらゆる種類の悪質な活動が可能になるということだ。企業の重要データが外部に漏れたり、システムが乗っ取られたりする危険がある。

この脆弱性は、Chanjet T+のバックエンド機能に存在していた。具体的には、ユーザーが入力した情報を処理する際に、適切な「サニタイズ（無害化）」が行われていなかったことが原因だ。サニタイズとは、ユーザーからの入力データに含まれる、悪意のある可能性のある文字やコードを無効化したり、安全な形に変換したりする処理のことだ。システムはアクセス権限のチェックは行っていたものの、入力されたデータの安全性を確認する工程が不十分だったため、認証を突破した攻撃者がSQLインジェクションを悪用し、サーバー上で不正なコマンドを実行できてしまう状況が生まれていた。

この問題に対処するため、提供元からはすでにセキュリティパッチがリリースされている。具体的には、パッチバージョン13.000.001.0402で初期の認証バイパスの問題が修正され、さらに13.000.001.0404でその修正が強化されている。したがって、このシステムを利用している企業やシステムエンジニアは、速やかに最新のバージョン、具体的には13.000.001.0404以降（2023年2月23日リリース）にアップグレードすることが強く推奨されている。古いバージョンのままだと、過去に修正された脆弱性が悪用されるリスクが常に残るため、定期的なパッチ適用は重要である。

影響を受けるバージョンは、Chanjet T+ 13.0とChanjet T+ 16.0だ。これらのバージョンを使用している場合は、特に注意が必要である。

対策としては、まず一時的な回避策として、Chanjet T+のシステムがインターネットに直接公開されていないか確認し、もし公開されている場合は、その公開範囲を制限することが挙げられる。また、セキュリティデバイス、例えばファイアウォールなどを用いて不正なトラフィックをフィルタリングすることも有効だが、完全にリスクを排除できるわけではないため、これはあくまで一時的な対応と考えるべきだ。恒久的な解決策は、公式から提供されているセキュリティパッチを適用することに尽きる。これは、システムの安全性を確保するための最も確実な方法である。

この脆弱性を検出するためのツールも提供されている。例えば、「X-POC Remote Scanner」や「CloudWalker Local Scanner」といったツールがあり、これらを利用することで、自社のシステムがこの脆弱性の影響を受けるかどうかを確認できる。これらのツールは、セキュリティ専門企業が開発しており、具体的な使用方法も公開されているため、必要に応じて活用できる。

また、Web Application Firewall（WAF）のようなセキュリティ製品も、このような攻撃からシステムを保護する上で重要な役割を果たす。WAFは、ウェブアプリケーションへの通信を監視し、SQLインジェクションのような既知の攻撃パターンを検出・ブロックする。ニュース記事にもあるように、「SafeLine WAF」のような製品は、デフォルトで今回の脆弱性に関連する攻撃を検出・ブロックできる。他のセキュリティ製品も、この脆弱性の検出や対策をサポートしていることが示されており、多層的なセキュリティ対策の重要性がうかがえる。

今回の脆弱性は、6月8日にセキュリティ企業に報告され、すぐに分析・検証が行われた。そして翌6月9日には、セキュリティアドバイザリが公開され、ユーザーへの注意喚起と対策が呼びかけられた。脆弱性が発見されてから迅速に情報公開と対策が講じられることは、システムの安全を守る上で重要だ。

システムエンジニアを目指す皆さんにとって、この事例はサイバーセキュリティの重要性を示すものとなる。安全なシステムを構築するためには、ユーザー入力の適切な処理（サニタイズ）、最新のセキュリティパッチの適用、そしてWAFのようなセキュリティ製品の導入など、多角的な対策が不可欠である。脆弱性は常に発見されるものであり、それに対して迅速かつ適切に対応する能力が、これからのシステムエンジニアには求められる。