【ITニュース解説】SAP Patches Critical NetWeaver (CVSS Up to 10.0) and High-Severity S/4HANA Flaws

2025年09月10日に「The Hacker News」が公開したITニュース「SAP Patches Critical NetWeaver (CVSS Up to 10.0) and High-Severity S/4HANA Flaws」について初心者にもわかりやすいように丁寧に解説しています。

作成日: 2025年09月10日更新日: 2025年12月27日

ITニュース概要

SAPがNetWeaverおよびS/4HANAのセキュリティ脆弱性に対応するアップデートを公開した。特にNetWeaverには、CVSSスコア10.0の極めて危険な脆弱性が含まれており、攻撃者によって不正なコード実行やファイルのアップロードが行われる恐れがあるため、早急なパッチ適用が求められる。

出典: SAP Patches Critical NetWeaver (CVSS Up to 10.0) and High-Severity S/4HANA Flaws | The Hacker News公開日: 2025年09月10日

ITニュース解説

SAPが企業システムを守るための重要なセキュリティアップデートをリリースしたというニュースは、IT業界で働く者、特にシステムエンジニアを目指す初心者にとって、その内容と背景を深く理解する価値がある。今回のアップデートは、世界中の大企業で利用されているSAP製品、具体的には「SAP NetWeaver」と「SAP S/4HANA」に存在する深刻な脆弱性に対処するものだ。

まず、SAPがどのような存在であるかを簡単に説明する。SAPは、会計、人事、生産管理、販売管理など、企業のあらゆる業務活動を統合的に管理するERP（Enterprise Resource Planning）システムを提供するドイツのソフトウェア会社だ。そのシステムは企業の心臓部とも言える基幹業務を支えており、ここに何らかの問題が生じると、ビジネス全体に大きな影響が及ぶ可能性がある。ニュースで言及されている「SAP NetWeaver」は、SAPアプリケーションが動作するための土台となる技術プラットフォームであり、多くのSAP製品がこの上で動いている。一方、「SAP S/4HANA」は、SAPが提供する最新のERPスイートであり、企業のデジタル変革を推進する中核システムとなっている。

「脆弱性」とは、ソフトウェアやシステムに存在するセキュリティ上の欠陥や弱点のことを指す。この欠陥を悪用されると、システムが不正に操作されたり、機密情報が外部に漏洩したりする危険性がある。今回のSAPのニュースは、そのような深刻な脆弱性が見つかったため、それらを修正するための「パッチ」（修正プログラム）が提供されたことを意味する。システムエンジニアの業務において、このようなセキュリティパッチを迅速かつ適切に適用することは、システムを安全に保つための最も重要な作業の一つとなる。

今回のセキュリティアップデートで特に注目すべきは、SAP NetWeaverで見つかった三つの「クリティカルな脆弱性」だ。クリティカルとは、最も深刻なレベルの危険性を持つことを意味し、その深刻度は「CVSS（共通脆弱性評価システム）」という国際的な評価基準で「10.0」という最高スコアが付けられていることからも明らかだ。CVSSスコア10.0とは、認証なしで攻撃が可能で、複雑な操作を必要とせず、システムに与える影響が最大級である脆弱性に与えられる。これは、誰でも簡単に、かつ完全にシステムを乗っ取れる可能性を示唆している。

これらの脆弱性が悪用されると、「コード実行」や「任意ファイルのアップロード」といった極めて危険な攻撃が可能となる。「コード実行」とは、攻撃者が標的のシステム上で、自分たちが用意した悪意のあるプログラムコードを勝手に実行できてしまう状態を指す。これが可能になると、システムは攻撃者の意のままに操られ、データが破壊されたり、改ざんされたり、機密情報が盗まれたりするだけでなく、そのシステムがさらに他のシステムへの攻撃の足がかりとして利用される可能性もある。また、「任意ファイルのアップロード」とは、攻撃者がシステム上に好きなファイルを自由に設置できてしまう状態を指す。これだけでも危険だが、コード実行の脆弱性と組み合わせることで、攻撃者がシステムに悪意のあるプログラムをアップロードし、それを実行することで、より深刻な被害を引き起こすことが可能となるのだ。

具体的に、今回「CVE-2025-42944」として公開されたCVSSスコア10.0の脆弱性は、SAP NetWeaverにおける「デシリアライゼーション脆弱性」だ。デシリアライゼーションとは、プログラムがデータを処理する際、例えばファイルに保存されたり、ネットワーク経由で受け取ったりしたデータを、プログラム内で扱える「オブジェクト」という形式に変換するプロセスを指す。この変換プロセスに不備があると、攻撃者が巧妙に細工したデータ（「悪意のあるペイロード」と呼ぶ）を送り込むことで、プログラムが設計者の意図しない動作をしてしまい、結果として前述のようなコード実行につながってしまう。この脆弱性の特に危険な点は、「認証されていない攻撃者」でも悪用できてしまうことだ。つまり、システムにログインするためのパスワードや認証情報を知らなくても、インターネットを通じて直接攻撃を仕掛けることが可能であり、攻撃の敷居が非常に低いため、広範囲のシステムが狙われるリスクがあることを意味する。

ニュース記事には、SAP S/4HANAにも「高深刻度（High-Severity）」の脆弱性が存在したと記載されている。具体的な詳細は述べられていないが、S/4HANAも企業の基幹システムであるため、こちらも迅速な対応が必要な重要な問題であることに変わりはない。

このニュースは、企業が利用する基幹システムがいかにセキュリティ対策を重要視しなければならないかを改めて示している。SAPのような企業の心臓部を担うシステムに深刻な脆弱性が見つかることは、決して珍しいことではないが、それをいかに迅速に検出し、修正し、そしてシステムを運用する企業が速やかにその修正を適用するかが、ビジネスの継続性と情報資産の保護にとって極めて重要となる。システムエンジニアを目指す者は、このようなセキュリティアップデートの重要性を理解し、常に最新の脅威情報にアンテナを張り、システムを安全に運用するための知識とスキルを継続的に磨いていく必要があるだろう。