SAPやSamsung製品も安全ではない？　増え続ける脆弱性の実態と緊急度：「パッチ未適用」が招くリスク

脆弱性の概要

　2025年4月、セキュリティベンダーReliaQuestは、「SAP NetWeaver Visual Composer」の脆弱性「CVE-2025-31324」の悪用を発見した。SAP NetWeaver Visual Composerは、SAPの業務システム運用基盤「SAP NetWeaver」で稼働するアプリケーション開発ツールであり、そのデータアップロード機能「Metadata Uploader」に脆弱性が存在した。攻撃者はCVE-2025-31324を悪用することによって、Metadata Uploaderの認証機能を不正利用し、悪意のある実行可能ファイルをアップロードできたという。SAPは同月、緊急パッチを公開した。

CVSSスコア

　共通脆弱性評価システム「CVSS」において、CVE-2025-31324の深刻度を示すスコアは2つ存在する。1つ目はNISTが算出したもので10点満点中9.8、2つ目はCVEを付与する権限を持つSAPが算出したもので10点満点中10.0だ。

脆弱性2．Samsung製サイネージの重大欠陥「CVE-2025-4632」

脆弱性の概要

　米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は2025年5月、デバイスベンダーSamsung Electronicsが提供する広告、案内、情報表示用のデジタルサイネージ管理製品「MagicINFO 9 Server」の脆弱性CVE-2025-4632を公表した。攻撃者はCVE-2025-4632を悪用することによって、管理者権限で任意のファイルを作成したり、既存ファイルに書き込んだりすることが可能だ。

　脆弱性を発見した研究者と企業を仲介する組織SSD Secure Disclosureは2025年1月、CVE-2025-4632を発見してSamsung Electronicsに報告。同年4月、概念実証（PoC）コードを公開した。PoCコードは、脆弱性の悪用が可能であることを証明するプログラムだ。セキュリティベンダーArctic Wolf NetworksとHuntress Labsは、PoCコードの公開直後である同年5月から攻撃を観測していたことを明らかにした。セキュリティ関連のニュースを扱うメディアThe Hacker Newsも同月、CVE-2025-4632がマルウェア「Mirai」の展開に悪用されていると報道。Samsung Electronicsは同月、修正プログラムを公開した。

CVSSスコア

　Samsung Electronicsが算出したCVE-2025-4632のCVSSスコアは、10点満点中9.8だ。同社はCVEを付与する権限を持つ。

脆弱性3．業務用チャットの盗み見を許す「CVE-2025-27920」

脆弱性の概要

　2025年5月、MicrosoftはインドのITベンダーSrimax Software Systemが提供するメッセージングアプリケーション「Output Messenger」の脆弱性「CVE-2025-27920」に関する情報を公表した。Microsoftによると、2024年4月以降、イラクのクルド系軍事勢力を標的にしたスパイ活動を進める際、トルコの攻撃者集団「Sea Turtle」がCVE-2025-27920を悪用していた。

　Sea Turtleは、WebサイトのDNS（ドメインネームシステム）の設定を乗っ取る「DNSハイジャック」や、URLの入力ミスを利用して有害なWebサイトに誘導する手口「タイポスクワッティング」を使って、エンドユーザーの認証情報を盗み取っていた。その上で、本来エンドユーザーがアクセスすることを想定していないファイルやフォルダに不正アクセスする手口「ディレクトリトラバーサル」の脆弱性を突いて、通信を傍受するためのバックドアを設置していた。バックドアは、不正アクセスのための入り口だ。

　Srimax Software Systemは2024年12月、CVE-2025-27920を修正したと発表した。一方でMicrosoftは2025年5月、「未修正のシステムがいまだに攻撃され続けている」と指摘するブログエントリ（投稿）を投稿した。

CVSSスコア

　2025年5月時点で、NISTはCVE-2025-27920のCVSSスコアを公表していない。CVEプログラムを推進する米国の非営利組織MITREが算出したCVSSスコアは10点満点中7.2だ。