セキュリティ研究者によると、SAP S/4HANAの重大なコードインジェクション脆弱性が実際に悪用されている。
この脆弱性はCVE-2025-42957として追跡されており、9.9の深刻度レーティングが付与されている。SAPは2025年8月にパッチを発行した。プライベートクラウド版とオンプレミス版の両方が影響を受ける。
この脆弱性を発見したSecurityBridge Threat Research Labsが実際の悪用を確認した。攻撃者は低権限からでも任意のABAPコードをシステムに注入でき、認証チェックを迂回してSAP_ALL権限を持つスーパーユーザーアカウントを作成できる。
これによりシステム全体の侵害、データ盗難、運用妨害が可能となる。
SecurityBridgeは対策として、SAP UCONの実装によるRFC使用制限と、認証オブジェクトS_DMISアクティビティ02へのアクセス制限を推奨している。SAPはThe Registerの問い合わせに即座には回答していない。
From: 
Critical, make-me-super-user SAP S/4HANA bug under active exploitation
【編集部解説】
今回注目すべきは、SecurityBridge Threat Research Labsが「実際の悪用を確認した」と明言していることです。
まず、この脆弱性の技術的背景について説明します。SAP S/4HANAのRFC(Remote Function Call)機能モジュールに存在するコードインジェクションの欠陥で、攻撃者は任意のABAPコードを注入できます。ABAPはSAPシステム専用のプログラミング言語であり、これを悪用されると文字通り「システム内で何でもできる」状況になります。
特に深刻なのは、攻撃に必要な権限の低さです。通常のユーザー権限があれば、システム全体を乗っ取れる脆弱性は極めて珍しく、CVSSスコア9.9という評価も妥当といえます。SecurityBridgeの実証では、SAP_ALL権限を持つスーパーユーザーアカウントの作成、パスワードハッシュのダウンロード、ビジネスプロセスの改変が可能であることが示されています。
この問題が企業に与える影響範囲は計り知れません。SAP S/4HANAは多くの大企業の基幹システムであり、財務、人事、調達、製造などの重要データが集約されています。侵害されれば、単なる情報漏洩にとどまらず、ビジネスプロセス全体の改ざんや停止、さらにはランサムウェア感染の足がかりにもなりえます。
対策面では、SAPが2025年8月11日にパッチを提供済みですが、同時に推奨されているのがSAP UCON(Unified Connectivity)の導入です。UCONはRFC呼び出しを制限する機能で、平均して95%のRFC機能モジュールをブロックし、攻撃対象を大幅に削減できます。これは単なるパッチ適用を超えた、根本的なセキュリティ強化策といえるでしょう。
長期的な視点では、この事案はエンタープライズシステムのセキュリティ設計に重要な示唆を与えています。従来の「境界防御」だけでなく、システム内部での権限昇格を防ぐ「ゼロトラスト」的なアプローチの重要性が改めて浮き彫りになりました。特に、基幹システムにおけるRFC通信の見直しは、今後多くの企業で必要になると予想されます。
【用語解説】
CVE-2025-42957: 2025年8月11日にSAPがパッチを提供したSAP S/4HANAの重大な脆弱性識別番号である。CVSSスコア9.9という極めて高い危険度を持つコードインジェクション脆弱性だ。
ABAP: Advanced Business Application Programmingの略で、SAP専用のプログラミング言語である。この言語で記述されたコードを悪用されると、システム内で管理者権限と同等の操作が可能になる。
RFC (Remote Function Call): SAP システム間や外部アプリケーションとの通信を行うための機能である。今回の脆弱性はこのRFC機能モジュールに存在していた。
SAP_ALL権限: SAPシステム内で最高レベルの管理者権限を指す。この権限を持つユーザーはシステム内のあらゆる操作が可能になる。
S_DMIS認証オブジェクト: SAPシステムにおけるアクセス制御の仕組みの一つで、特定の機能やデータへのアクセス権限を管理する。
【参考リンク】
SAP日本法人公式サイト(外部)
ドイツに本社を置く世界最大級のERPソフトウェアベンダーSAP社の日本法人サイト
SecurityBridge公式サイト(外部)
今回の脆弱性を発見したSAPセキュリティ専門企業の公式サイト
SAP S/4HANA Cloud Public Edition(外部)
今回の脆弱性対象製品であるSAP S/4HANAクラウド版の公式サイト
SAP Unified Connectivity (UCON) 概要(外部)
RFC通信を制御するセキュリティフレームワークの公式ドキュメント
【参考記事】
CVE-2025-42957: Critical SAP S/4HANA Code Injection Vulnerability(外部)
脆弱性を発見したSecurityBridge Threat Research Labsによる詳細レポート
Critical SAP S/4HANA flaw CVE-2025-42957 under active exploitation(外部)
Security Affairsによる脆弱性の詳細報告と第三者視点からの分析
SAP S/4HANA Critical Vulnerability CVE-2025-42957(外部)
The Hacker Newsによる技術解説記事と企業が直面するリスクの詳細
Bug in SAP’s S/4 HANA exploited in the wild, rated critical CVSS 9.9(外部)
SC Magazineによる業界動向分析と脆弱性の影響範囲に関する報告
Unlocking Secure and Efficient Communications with SAP Unified Connectivity(外部)
ERP Newsによる対策技術SAP UCONの解説記事と具体的な数値データ
【編集部後記】
今回のSAP S/4HANAの脆弱性報告を読まれて、いかがでしたでしょうか。私たちinnovaTopiaは、「未来を知りたい、触りたい、関わりたい」という読者の皆さんの想いに寄り添いながら、このような重要な情報をお届けしています。
企業の基幹システムという「縁の下の力持ち」的存在が抱えるセキュリティリスクは、私たちの日常生活にも密接に関わっています。皆さんの職場や取引先企業でも、SAPシステムが使われている可能性はありませんか?また、このような重大な脆弱性が発見された際、組織としてどのような対応を取るべきだと思われますか?
ぜひ、皆さんのご意見やご経験を聞かせていただければと思います。
