【ITニュース解説】SAP S/4HANA Critical Vulnerability CVE-2025-42957 Exploited in the Wild

今回のニュースは、企業活動の基盤を支える重要なシステムであるSAP S/4HANAに、非常に危険なセキュリティ上の欠陥、いわゆる「脆弱性」が見つかり、すでに実際にサイバー攻撃に悪用されているという、極めて深刻な事態を報じている。この脆弱性は「CVE-2025-42957」という固有の識別番号が与えられており、その深刻度を示すCVSSスコアは9.9と、満点に近い極めて高い数値である。これは、この脆弱性が悪用された場合に企業に及ぼす影響が甚大であることを意味する。

まず、ニュースの主役である「SAP S/4HANA」とは何かを理解する必要がある。SAP S/4HANAは、ドイツのSAP社が開発・提供している「ERPソフトウェア」の一種である。ERPとは「Enterprise Resource Planning」の略で、日本語では「企業資源計画」と訳される。これは、企業が事業を行う上で必要な会計、販売、生産、購買、人事といった様々な業務の情報を一元的に管理し、部門間の連携をスムーズにするための統合的なシステムである。多くの大企業や中堅企業で導入されており、企業の経営を根底から支える、まさに「基幹システム」と呼べる存在である。このような企業の生命線とも言えるシステムに脆弱性が見つかり、それが攻撃者に悪用されるということは、企業の機密情報の漏洩、システムの停止、不正なデータ操作といった、事業の継続に直接的に関わる非常に危険な事態を招く可能性がある。

次に、「脆弱性」について解説する。ソフトウェアやシステムにおける脆弱性とは、プログラムの設計ミスや開発段階での不備、設定の誤りなどによって生じる、情報セキュリティ上の弱点のことである。この弱点が存在すると、悪意を持つ第三者（サイバー攻撃者）がその弱点を突いて、本来は許されない操作を行ったり、重要な情報を盗み出したり、システムを停止させたりすることが可能になる。今回SAP S/4HANAで見つかった脆弱性は、特に危険性が高いとされる「コマンドインジェクション」という種類のものである。

コマンドインジェクションとは、攻撃者がWebアプリケーションなどのシステムへの入力箇所に、悪意のあるプログラムコードやシステムコマンドを紛れ込ませ、それをシステムに実行させることで、本来意図されていない動作を引き起こす攻撃手法である。例えば、システムが受け取ったユーザーからの入力データを適切にチェックせず、そのままOSのコマンドとして処理してしまうような場合にこの脆弱性が生まれる。これにより、攻撃者はシステムの裏側で動いているOS（オペレーティングシステム）に対して、システムのファイルを読み取ったり、ファイルを削除したり、新しいプログラムを実行させたり、さらにはシステム管理者と同等の権限を奪い取ったりすることも可能になる。SAP S/4HANAのような基幹システムでコマンドインジェクションが成功すると、企業の重要なデータベースへの不正アクセス、業務データの改ざんや破壊、顧客情報の窃取といった、壊滅的な被害につながる恐れがある。

今回の脆弱性「CVE-2025-42957」のCVSSスコアが9.9という非常に高い数値であることは、その危険度の高さを明確に示している。CVSS（Common Vulnerability Scoring System）とは、脆弱性の深刻度を評価するための国際的な基準であり、0から10までの数値で評価される。9.0以上は「Critical（緊急）」と分類され、これは攻撃者が特別な技術や高い権限を必要とせず、比較的容易に悪用できてしまい、かつ悪用された場合の影響が非常に大きいことを意味する。さらに、「exploited in the wild」という表現は、この脆弱性がすでにサイバー攻撃者グループなどによって実際に発見され、活発に悪用されていることを意味する。つまり、単なる理論上の脅威ではなく、現実世界で実際に多くの企業がこの脆弱性を悪用した攻撃の標的になっている状態を示している。

ニュース記事の内容によると、この脆弱性は「ユーザー権限を持つ攻撃者」が「機能モジュール」内の脆弱性を悪用することで成立する。これは、攻撃者がSAP S/4HANAの正規のユーザーアカウントを乗っ取ったり、企業内部にいる悪意のあるユーザーがその権限を利用したりして攻撃を実行できる可能性を示唆している。つまり、外部からの単純な侵入だけでなく、正規のアクセス経路や権限を利用した、より巧妙で気づきにくい攻撃が可能であるということだ。機能モジュールとは、ERPシステムのような大規模で複雑なソフトウェアにおいて、特定の業務処理を行うためのプログラムの部品単位のことである。例えば、受注処理を行うモジュールや在庫管理を行うモジュールなどがあり、今回の脆弱性はそのような企業の重要な機能の一部に潜んでいたことになる。

幸いなことに、SAPはこの脆弱性をすでに認識し、先月の月次アップデートの一部として修正プログラム（パッチ）をリリースしている。これは、システムの開発元が問題に対応済みであることを意味する。しかし、パッチが提供されていても、全ての企業がすぐにそのパッチを自社のシステムに適用できるわけではない。基幹システムのパッチ適用は、システムの停止を伴う場合や、大規模なシステムであるため適用前の厳密なテスト期間が必要な場合があるため、適用が遅れることがある。その間に攻撃者に狙われるリスクが高まるため、修正プログラムの迅速な適用が強く求められる。

このようなセキュリティインシデントは、システムエンジニアを目指す皆さんにとって、サイバーセキュリティの重要性を再認識する非常に良い機会となる。システムを設計・開発する際には、セキュリティを最初から考慮に入れる「セキュリティ・バイ・デザイン」という考え方が不可欠である。また、システムをリリースした後も、継続的に脆弱性診断を行い、発見された脆弱性には迅速に対応する体制を構築することが極めて重要となる。システムの修正プログラムであるパッチの管理も非常に重要な業務の一つであり、システムが稼働し続ける限り、開発元から提供される修正プログラムを遅滞なく適用し続ける必要がある。

企業側も、IT部門と経営層が連携し、セキュリティ対策への適切な投資を怠らず、従業員へのセキュリティ教育を徹底する必要がある。特に、基幹システムは企業の生命線であるため、そのセキュリティ対策は最優先事項とすべきである。今回の件は、世界中の企業にとって、自社のSAP S/4HANAシステムが最新のセキュリティパッチで保護されているかを緊急で確認する必要があるという強い警鐘を鳴らしている。

システムエンジニアは、単にプログラムを書いたりシステムを構築したりするだけでなく、構築したシステムが安全に稼働し続けるよう、常に最新のセキュリティ情報を追い、適切な対策を講じる責任がある。脆弱性情報の公開、修正プログラム（パッチ）の適用、システムの監視といった一連のプロセスは、現代のITシステム運用において欠かせない重要な業務であり、このニュースはその重要性を改めて浮き彫りにしたと言えるだろう。