米国土安全保障省(DHS)が企業に対し、ERPシステムを狙う攻撃のリスクが高まっていると警告している。
米コンピュータ緊急事態対策チーム(US-CERT)が米国時間7月25日付で公開した警告によると、攻撃者はERPシステムの脆弱性を悪用して機密情報にアクセスしようとしているという。
ERPシステムは企業にとって必要不可欠な処理を実行し、重要な企業情報を有していることから、格好の標的となり、サイバースパイやサイバー攻撃、サイバー詐欺などに利用される恐れがある。
多くのERPアプリケーションがインターネットに直接接続されており、システムが危険にされた状態にある場合もある。これは、攻撃者を引きつけ、攻撃者に利益をもたらすようなターゲットとなりうる。
US-CERTの警告に先立って、セキュリティ企業のDigital ShadowsとOnapsisが共同で、悪意あるハッカーがERPシステムにもたらす脅威に関するレポートを公開している。
SAP、Oracleなどの企業は、自社のERP製品向けのパッチを出している。一方で、レポートによると、複雑なシステムのアーキテクチャやカスタマイズされた機能、パッチ処理に関する知識の不足などにより、顧客はパッチを当てることに苦戦している場合もあるという。こうした課題が攻撃者に悪用される恐れがある。
ERPシステムがサポートするアプリケーションがインターネットに接続している場合、ERPシステムはさらに脆弱になりうる。研究者らは、インターネットに接続しているSAPとOracleアプリケーションの数は1万7000件以上に及び、多くが米国、英国、ドイツなどの大企業や政府機関のものだという。
危険にさらされているアプリケーションの多くは、攻撃に対して脆弱であり、こうしたシステムに関する情報がダークウェブや犯罪者のフォーラムで共有されている場合もあるという。
攻撃者がERPインフラの脆弱性を悪用する例として、マルウェアで脆弱性を悪用し、企業ネットワークを感染させる場合があるという。
こうしたシステムを標的とするのは(一般の)犯罪者だけではないようだ。レポートによると、国家の支援を受けた攻撃者が、サイバースパイやサイバー攻撃のために、ERPアプリケーションを狙っていると警告している。
Digital Shadowsのレポートは、国家が関与する攻撃者がERPの脆弱性をシステムへのバックドアとして利用する傾向が続いていると警告している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。