概要

2025年4月、SAP NetWeaver Visual Composerに関する重大な脆弱性（CVE-2025-31324）が公開されました。既にCISAのKEV（Known Exploited Vulnerabilities）カタログにも追加されており、攻撃における悪用が確認されています。

SAPの主要製品は企業の資源計画（ERP）に関わるものであり、様々な業務プロセスを管理統合するシステムです。多くの組織にとって業務の中核を担う存在であるため、SAPの脆弱性は事業継続性やデータの完全性に対して重大なリスクとなります。SAP NetWeaver Visual Composerは、ビジネスアプリケーションの構築に広く使用されていますが、今回の脆弱性により、認証なしでファイルをアップロードできてしまう問題が明らかになりました。攻撃者が悪意のあるスクリプトや実行ファイルをサーバにアップロードできる可能性があり、その結果、リモートでのコード実行、データの流出、企業ネットワーク内での横展開（ラテラルムーブメント）などが引き起こされる恐れがあります。

技術的な詳細

CVE-2025-31324は、SAP NetWeaver Visual Composerにおけるファイルアップロードの検証不備に起因する脆弱性です。この脆弱性を悪用することで、攻撃者はウェブシェルや実行ファイルなどの不正なファイルを、ファイルの種類や内容に制限されることなくアップロードすることができます。アップロードされたファイルはリモートから実行可能であり、その結果として攻撃者は認証なしにシステムへ不正アクセスを行うことが可能になります。

この脆弱性が特に危険である理由は以下のとおりです。

認証なしでリモートから悪用可能であること
特権昇格や横展開など、さらなる攻撃の足がかりとなること
機密性の高い業務ロジックやデータを扱うプラットフォームが標的であること

なぜ重要なのか

SAPシステムは、財務、人事、サプライチェーンのロジスティクスまで、企業の業務全体を支える中核的な存在です。CVE-2025-31324を悪用されると、以下のような深刻な影響が生じる可能性があります。

重要なビジネスプロセスの中断
企業や顧客の機密情報が含まれるデータ漏えい
法令違反による罰則や企業イメージの毀損

既に脆弱性を悪用する攻撃の発生も確認されているため、速やかな対応が必要です。

Trend Microの保護機能

Trend Micro SAP Scanner

Trend MicroのSAP Scannerは、SAP環境における脆弱性や設定ミスを検出するために特化して設計されています。CVE-2025-31324に関しても、以下の方法でその存在を検知できます。

外部からアクセス可能なアップロード用エンドポイントのスキャン
パッチが未適用のSAP NetWeaverコンポーネントの特定
制限のないファイルアップロードを許可する危険な設定の可視化

SAP ScannerはDevSecOpsパイプラインに統合することも、定期的にスキャンを実行することも可能です。これにより、CVE-2025-31324のような脆弱性を攻撃者に悪用される前に発見し、対策を講じることができます。

Trend Vision One™ プラットフォーム

Trend Vision One™ プラットフォームは、エンドポイント、サーバ、クラウドワークロード、ネットワーク全体にわたるXDR（拡張型検出と対応）およびサイバーリスク露出の管理機能を提供します。CVE-2025-31324のような脆弱性に対しては、以下の対策を提供しています。

仮想パッチ：公式なSAPのパッチが提供される前でも、Trend Microは仮想パッチを適用し、攻撃の試行をブロックできます。
Deep Security / Server & Workload ProtectionによるIPSルール
- ルール 1012351 - SAP NetWeaver Visual Composer 無制限ファイルアップロードの脆弱性（CVE-2025-31324）
TippingPointフィルターによるIPSルール
- フィルター 45805 - HTTP: Trojan.Shell.PhanlodLogger.A 実行時検出
- フィルター 41642 - HTTP: Generic JSP コマンド実行Webシェルのペイロードを検出
ふるまい検出：Trend Vision Oneは、SAPサーバ上での予期しないファイルアップロードやコマンド実行といった不審な挙動を相関的に分析し、アラートを発します。
脅威インテリジェンス連携：CVE-2025-31324に関連するインジケーター（IOC）をリアルタイムで更新し、環境全体でその識別とブロックを可能にします。

まとめ

CVE-2025-31324は、SAPのような業務上重要なアプリケーションにおいて、脆弱性管理を能動的に行うことの重要性を改めて示すものです。Trend MicroのSAP ScannerおよびTrend Vision Oneプラットフォームを活用することで、新たな脅威への先手対応、リスクの低減、そして事業継続性の確保が可能になります。

参考記事：

Critical SAP Vulnerability Exposes Enterprises
By: Dereus Caldwell

翻訳：与那城務（Platform Marketing, Trend Micro™ Research）

タグ

重大なSAPの脆弱性が企業を危険にさらす

目次

概要

技術的な詳細

なぜ重要なのか

Trend Microの保護機能

Trend Micro SAP Scanner

Trend Vision One™ プラットフォーム

まとめ

参考記事：

執筆者

Trend Vision One™ - Proactive Security Starts Here.

リソース

サポート

会社概要

東京本社

Trend Vision One™ - Proactive Security Starts Here.

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa