SAP NetWeaverを標的にしたゼロデイ脆弱性「CVE-2025-31324」が、現在進行形の攻撃キャンペーンで悪用されているとして注目を集めています。SAP基盤はERPを中心に、会計・購買・生産・人事など基幹業務の中枢を担うことが多く、侵害時の影響は単一サーバの停止に留まりません。特に、インターネットから到達可能な管理系コンポーネントや統合基盤が露出している環境では、侵入の初動が一気に進み、認証情報の窃取から横展開、データ破壊や恐喝へ連鎖するリスクが高まります。
CVE-2025-31324とは何か
CVE-2025-31324は、SAP NetWeaverに影響する重大な脆弱性として扱われ、攻撃者が遠隔から任意コード実行(RCE)に至る可能性が指摘されています。RCEは「攻撃者が対象サーバ上で任意のコマンドを実行できる」状態を意味し、Webシェル設置、追加ペイロードのダウンロード、権限昇格の試行、内部ネットワークへの踏み台化など、侵害後の行動の自由度が極めて高いのが特徴です。
また「ゼロデイ」とされる状況は、修正が十分に浸透する前に攻撃が先行しやすく、脆弱性の存在が周知されたタイミングで探索・悪用が急増する傾向があります。攻撃側は、公開情報や自動化ツールを組み合わせ、インターネット上のSAP関連エンドポイントを広範囲にスキャンして、脆弱なバージョンや設定を狙い撃ちします。
なぜSAP NetWeaverが狙われるのか
SAP NetWeaverは、多くの企業で基幹業務を支えるアプリケーション基盤として稼働しており、認証基盤や連携基盤、業務アプリの実行環境が集中しがちです。そのため、侵害に成功すると以下のような「高い投資対効果」を攻撃者に与えてしまいます。
業務影響が大きい:停止や改ざんが直ちに売上・出荷・請求・給与などに波及し、身代金交渉の圧力が高まります。
高権限・高価値データが集約:業務データ、個人情報、取引先情報、財務情報、認証情報などが集まりやすい構造です。
外部公開されがちな接点:運用の都合で管理系画面や連携エンドポイントがインターネット到達可能になっているケースがあります。
想定される攻撃の流れと被害シナリオ
実際の攻撃は環境差があるものの、一般的にRCE系の侵害では次のような段階を踏みます。
初期侵入と永続化
脆弱性の悪用によりサーバ上でコード実行が可能になると、攻撃者はWebシェルやバックドアを設置し、再侵入を容易にします。ここでログの改ざんや痕跡消しが行われると、検知が遅れます。
認証情報の収集と横展開
アプリケーションサーバ上には、接続先DBや連携先システムの資格情報、サービスアカウントの秘密情報が残っていることがあります。これらが奪取されると、SAP領域を越えてファイルサーバ、AD、仮想基盤、バックアップ環境にまで横展開されるリスクが高まります。
データ持ち出し・業務妨害・恐喝
近年の攻撃は「暗号化だけ」ではなく、機密情報の窃取と暴露を組み合わせる二重恐喝が一般化しています。SAPデータは企業の根幹に関わるため、漏えい時のインパクトは大きく、インシデント対応の難易度も上がります。
緊急対応で優先すべきポイント
ゼロデイ悪用が疑われる局面では、理想論よりも「被害拡大を止める現実的な手順」が重要です。以下は優先度の高い実務観点です。
外部露出の把握と到達性の遮断
まず、SAP NetWeaver関連の管理系エンドポイントやWebコンポーネントがインターネットから到達可能かを棚卸しし、不要な公開は即時停止します。業務都合で公開が必要な場合でも、IP制限、VPN/ゼロトラストアクセス経由、WAFによる保護、認証強化など多層防御を前提に再設計すべきです。
パッチ適用と設定是正の計画を前倒し
ベンダー提供の修正が利用可能であれば、影響範囲と依存関係を整理しつつ、優先度を上げて適用します。基幹系は停止が難しいため、段階適用・メンテナンス枠の確保・ロールバック手順の準備が不可欠です。「適用できない」状態が長期化する場合は、代替策(公開停止、アクセス制御、監視強化、仮想パッチ)でリスクを下げます。
侵害痕跡の確認(フォレンジックの第一歩)
疑わしい挙動がある場合は、サーバ上の不審ファイル、未知のプロセス、想定外の外部通信、権限変更、スケジュールタスクやサービス登録などを確認します。基幹系では証拠保全が重要なため、闇雲な再起動やログ削除は避け、ディスク・メモリ・ログの保全方針を決めてから対応します。
認証情報の保護とローテーション
侵害が疑われる場合、サービスアカウントや連携用資格情報、管理者権限のパスワード/鍵のローテーションを検討します。ただし、無計画に変更すると業務停止を招くため、優先順位(外部公開に近いもの、権限が高いもの、横展開に使われやすいもの)を付け、影響評価とセットで進めます。
検知・監視を強化する実践策
攻撃が継続している局面では「侵入を完全に防ぐ」ことに加え、「侵入された前提で早期に検知し封じ込める」設計が求められます。
ログの集中管理:OS、Web、アプリ、認証、DB、プロキシなどをSIEMへ集約し、相関分析できる状態にします。
外向き通信の監視:未知ドメインや不審IPへの通信、DNSの異常、プロキシ迂回などを検知します。
権限・設定変更の監査:管理者追加、権限昇格、サービス登録、スケジュール実行の新規作成を重点監視します。
WAF/IDSのルール更新:公開系の入口で悪用パターンをブロック・検知し、SOCのトリアージにつなげます。
中長期で必要なSAPセキュリティの再設計
今回のような脆弱性悪用は、単発のパッチ適用で終わらせると再発します。SAP環境は「止めにくい」「複雑」「関係者が多い」ため、平時から運用設計にセキュリティ要件を組み込むことが重要です。
公開範囲の最小化とネットワーク分離
インターネット公開を前提にしない構成へ寄せ、業務上必要な接点は踏み台・認証強化・限定公開で管理します。SAP領域は横展開されやすいため、バックアップや管理系セグメントを含めた分離を徹底します。
脆弱性管理の運用成熟
資産台帳(バージョン、コンポーネント、公開状況)を常に最新化し、緊急パッチの判断基準、メンテナンス枠の確保、例外時の代替策まで手順化します。「適用可否」ではなく「適用不能時にどうリスクを下げるか」までを運用に落とし込むことが現実的です。
バックアップと復旧訓練
RCEからランサムウェアに至るケースを想定し、オフライン/イミュータブルなバックアップ、復旧手順、RTO/RPOの見直しを行います。基幹系は復旧の段取りが難しいため、机上ではなく実環境に近い訓練が効果的です。
まとめ
CVE-2025-31324のようにSAP NetWeaverのゼロデイが現実の攻撃で悪用される局面では、影響はサーバ単体に留まらず、基幹業務・取引・信頼に直結します。最優先は外部露出の把握と遮断、修正適用の前倒し、侵害痕跡の確認、認証情報の保護です。同時に、ログの集中管理と検知強化で「侵入後の封じ込め」を可能にし、公開最小化と脆弱性管理の成熟で再発しにくい構造へ移行することが、実務的な最適解になります。
参照: CVE-2025-31324 検出: 現在進行中のSAP NetWeaverゼロデイ攻撃により重要なシステムがリモートコード実行の危険にさらされる – SOC Prime