『Black Hat』で SAP アプリの脆弱性が明らかに

この記事のURLhttp://japan.internet.com/webtech/20110809/4.html

SAP アプリケーションのセキュリティはどの程度のものなのだろうか。セキュリティ研究者 Alexander Polyakov 氏は、3-4日にラスベガスで開催されていた毎年恒例のセキュリティ カンファレンス『Black Hat USA 2011』のセッションで、この疑問への答えを出そうと試みた。

Polyakov 氏は、セキュリティ会社 ERPscan の CTO (最高技術責任者) で、企業資源計画 (ERP) システムのセキュリティ研究を専門としている。同氏はプレゼンテーションの中で、SAP アプリケーションに潜在的な攻撃可能領域があることを明らかにした、これには内部の脅威だけではなく外部からの脅威も含まれていた。攻撃者はローカル アクセスを必要としない遠隔攻撃に最も強い関心を寄せているというのが、同氏の見方だ。

Polyakov 氏の研究では、SAP アプリケーションのセキュリティ脆弱性の根本原因は『Java』の使用にあるとしている。

「クロスサイト スクリプティング (XSS) の脆弱性は数え切れないほど存在している。しかもその多くがパッチ未対応だ」と同氏は指摘している。

Polyakov 氏は、個別の悪用につながりかねない複数のセキュリティ バグの発見に成功したが、今後さらにもう一歩進んで、たった1件のバグを使って SAP の全システムを乗っ取れるような、最大級のセキュリティ脆弱性を特定したいと考えているという。

Polyakov 氏は HTTP Verb Tampering (HTTP 動詞の改ざん) と呼ばれる手法を攻撃ベクトルに用いて、500種類の SAP アプリケーションを調べ、このうち40種類に脆弱性が存在することを発見した。そうした脆弱性の1つに、遠隔から SAP サーバー上にある任意のファイルへの上書きを許しかねないものがあった。この同じ攻撃ベクターを使うことにより、攻撃者が任意ユーザーを任意グループに追加するおそれがあることも判明したという。

SAP アプリケーションのセキュリティ リスクを取り上げた Polyakov 氏だが、同氏の大きな目標は SAP 製品のセキュリティを向上させることにある。同氏は、SAP と共同でセキュリティ脆弱性の特定とその修正に取り組んでいる。Polyakov 氏によれば、SAP は同氏が発見した脆弱性に対応する修正パッチを開発中だという。また、同氏はこのほかにも、SAP との提携関係により公表できない脆弱性も発見しているとのことだ。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。