SAP BPC/BWにCVSS 9.9のSQL注入——低権限で財務データ窃取可能
CVSSスコア9.9(10.0中)、低権限ユーザーで悪用可能、財務データの完全な窃取・改ざん・削除が可能——SAPの2026年4月パッチデーで修正された脆弱性 CVE-2026-27681 は、エンタープライズセキュリティの根幹を揺るがすものです。影響を受けるのは全世界6,000社以上が利用するSAP Business Planning and Consolidation(BPC)とSAP Business Warehouse(BW)。日本でもENEOS、資生堂、日本航空、富士通をはじめとする大手企業がSAPを導入しており、影響は国内にも及びます。
現時点で野生での悪用は確認されていませんが、「低権限ユーザーが認証済みの状態で任意SQLを実行できる」という条件の低さから、パッチ適用は一刻の猶予も許されません。
CVE-2026-27681の概要——何が起きたのか
2026年4月8日、SAPは月例セキュリティパッチデーにおいて、全20件のセキュリティノートを公開しました。その中で最も深刻だったのが、Security Note 3719353で修正されたCVE-2026-27681です。
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-27681 |
| CVSSスコア | 9.9(Critical) |
| 脆弱性タイプ | SQLインジェクション(CWE-89: 特殊文字の不適切な無効化) |
| 攻撃ベクター | ネットワーク経由(認証済み・低権限) |
| 影響製品 | SAP BPC(HANABPC 810、BPC4HANA 300)、SAP BW(750〜758、816) |
| バックエンドDB | Microsoft SQL Server |
| パッチ | Security Note 3719353 |
| 野生での悪用 | 現時点で未確認 |
この脆弱性の核心は、ABAPプログラムのファイルアップロード機能に入力値のサニタイズ(無害化処理)が欠如していたことにあります。攻撃者は通常のビジネスユーザー権限でSAPにログインし、SQLコマンドを含むファイルをアップロードするだけで、バックエンドのMicrosoft SQL Serverに対して任意のSQLクエリを実行できてしまいます。
SQLインジェクションとは何か——ABAPプログラムにおける脆弱性の仕組み
SQLインジェクションの基本原理
SQLインジェクションは、Webアプリケーションやエンタープライズシステムにおいて最も古くから知られる脆弱性の一つでありながら、2026年の今でも最も危険な攻撃手法の一つです。OWASP Top 10においてもインジェクション攻撃は常に上位にランクインしています。
通常、アプリケーションはユーザーからの入力値を受け取り、それをSQLクエリの一部として組み立ててデータベースに送信します。この際、入力値に含まれる特殊文字(シングルクォート '、セミコロン ;、コメント記号 -- など)を適切にエスケープ(無害化)しなければ、攻撃者は本来のSQL文の構造を変更し、意図しないクエリを実行できてしまいます。
例えば、正常なクエリが以下のようなものだとします。
SELECT * FROM financial_data WHERE company_code = '入力値';
攻撃者が入力値として ' OR 1=1; DROP TABLE financial_data; -- を送信すると、実際に実行されるクエリは以下のようになります。
SELECT * FROM financial_data WHERE company_code = '' OR 1=1; DROP TABLE financial_data; --';
これにより全データの取得やテーブルの削除が可能になります。
ABAPにおけるSQLインジェクションの特殊性
SAP環境ではABAP(Advanced Business Application Programming)という独自のプログラミング言語が使われます。ABAPにはOpen SQLとNative SQLという2つのデータベースアクセス方法があります。
Open SQLはSAPのデータベース抽象化レイヤーを通じてアクセスするため、通常はSQLインジェクションに対する一定の保護が備わっています。しかしNative SQLは、バックエンドのデータベースに直接SQLを発行するため、入力値のサニタイズが開発者の責任となります。
CVE-2026-27681では、BPC/BWのファイルアップロード処理を担うABAPプログラムが、アップロードされたファイルの内容を十分に検証せずにNative SQL経由でMicrosoft SQL Serverに渡していたと考えられます。これにより、ファイル内に埋め込まれたSQL文がそのまま実行されてしまう状態でした。
以下の図は、CVE-2026-27681の攻撃フローを示しています。
この図は、攻撃者が低権限ユーザーとしてログインし、脆弱なABAPアップロード機能を悪用して任意のSQLをMS SQL Serverに注入する流れを示しています。入力検証の欠如が攻撃の根本原因であり、最終的に財務データの窃取、改ざん、削除という壊滅的な被害につながります。
なぜCVSSが9.9なのか——10.0でない理由
CVSSスコアが最大の10.0ではなく9.9である理由は、攻撃に低権限であっても認証が必要という前提条件があるためです。CVE-2025-31324(NetWeaver Visual Composerのゼロデイ、CVSS 10.0)のように認証不要でリモートから悪用できる脆弱性と比較すると、この1つの条件の差がスコアに反映されています。
しかし実務上、この差はほとんど意味がありません。SAP BPC/BWを利用する企業では、経理部門や経営企画部門の担当者、外部監査人など、多数のユーザーが低権限アカウントを持っています。内部犯行者やフィッシングで認証情報を窃取した外部攻撃者にとって、この「低権限」のハードルは極めて低いものです。
SAP BPC/BWとは——影響を受けるシステムの重要性
SAP BPCの役割
SAP Business Planning and Consolidation(BPC)は、企業の予算策定、財務計画、連結決算を一元管理するためのソリューションです。全世界で6,000社以上が導入しており、以下のような業務で使われています。
- 予算策定と予測: 年度予算の編成、四半期ごとの見通し更新
- 連結決算: グループ会社間の内部取引消去、連結財務諸表の作成
- 財務報告: 法定開示資料、経営報告資料の生成
- 管理会計: セグメント別損益分析、KPI管理
SAP BWの役割
SAP Business Warehouse(BW)は、SAPおよび非SAPシステムからデータを収集・統合し、分析基盤を提供するデータウェアハウス製品です。BPCのバックエンドデータストアとしても機能し、以下のデータを格納します。
- 販売実績、購買データ、生産データ
- 財務会計データ(仕訳、残高)
- 人事データ(給与、人員配置)
- 計画データ(予算、フォーキャスト)
以下の図は、SAP BPC/BWのアーキテクチャと今回の脆弱性の影響範囲を示しています。
この図は、SAP BPC/BWの多層アーキテクチャ全体像を示しています。ユーザー層の低権限ユーザーが、アプリケーション層の脆弱なABAPプログラムを経由して、データベース層のMicrosoft SQL Server上の財務データ、連結情報、マスターデータに直接アクセスできる攻撃経路が赤い破線で示されています。
攻撃が成功した場合の具体的な被害シナリオ
CVE-2026-27681が悪用された場合、以下のような被害が想定されます。
- 財務データの窃取: 連結決算データ、四半期業績予測、M&A計画などの機密情報が流出。インサイダー取引や競合企業への情報漏洩につながる
- データの改ざん: 売上数値や費用データを書き換え、粉飾決算に悪用。監査法人が検出するまで気づかない可能性がある
- データベースの破壊: テーブルの削除やデータの一括消去により、決算作業が停止。決算発表の遅延は株価に直接影響
- ランサムウェアの足がかり: データベースレベルのアクセス権を得た攻撃者が、さらにOSレベルの権限昇格を試みる可能性
2026年4月パッチデーの全体像
CVE-2026-27681は今回のパッチデーで最も深刻な脆弱性ですが、SAPは合計20件のセキュリティノートを公開しています。以下に主要な脆弱性をまとめます。
| CVE | CVSS | 深刻度 | 影響製品 | 脆弱性タイプ |
|---|---|---|---|---|
| CVE-2026-27681 | 9.9 | Critical | BPC / BW | SQLインジェクション |
| CVE-2026-34256 | 7.1 | High | ERP / S/4HANA | 認可チェック不備 |
| CVE-2025-64775 | 6.5 | Medium | BusinessObjects | サービス拒否(DoS) |
| CVE-2026-27674 | 6.1 | Medium | NetWeaver Java | コードインジェクション |
| CVE-2026-0512 | 6.1 | Medium | SRM | クロスサイトスクリプティング |
| その他15件 | 〜5.0以下 | Low-Medium | 各種モジュール | 認可不備、CSS注入等 |
注目すべきは、今回のパッチデーでCritical(CVSS 9.0以上)が1件、High(7.0以上)が1件含まれている点です。特にCVE-2026-34256のS/4HANA認可チェック不備も、多くの日本企業が移行中のS/4HANAに影響するため、併せてパッチを適用する必要があります。
SAP脆弱性の深刻化トレンド——2024年から2026年へ
数字で見る脆弱性の増加
SAPの脆弱性は近年急速に深刻化しています。SecurityBridgeの調査によると、以下のような推移が見られます。
| 指標 | 2024年 | 2025年 | 増加率 |
|---|---|---|---|
| セキュリティノート総数 | 149件 | 207件 | +39% |
| HotNews(CVSS 9.0+) | 11件 | 25件 | +127% |
| High(CVSS 7.5〜8.9) | 17件 | 35件 | +106% |
| CVSS 10.0 | 1件 | 5件 | +400% |
2026年は4月時点ですでにCVSS 9.9の脆弱性が出ており、このペースが続けば年間のセキュリティノート数は230件を超えると予測されます。
過去の重大SAP脆弱性との比較
| CVE | 年 | CVSS | 影響 | 特徴 |
|---|---|---|---|---|
| CVE-2025-31324 | 2025 | 10.0 | NetWeaver Visual Composer | ゼロデイで悪用済み、認証不要 |
| CVE-2025-30012 | 2025 | 10.0 | デシリアライゼーション | 任意コード実行 |
| CVE-2025-42887 | 2025 | 9.9 | Solution Manager | コードインジェクション |
| CVE-2025-0063 | 2025 | 8.8 | NetWeaver | Informix SQLインジェクション |
| CVE-2026-27681 | 2026 | 9.9 | BPC / BW | SQLインジェクション、低権限で悪用可能 |
以下の図は、SAP脆弱性の経年トレンドと今回のパッチデーにおけるパッチ適用優先度を示しています。
この図の左側は、SAPセキュリティノートの年間発行数が2024年の149件から2025年の207件へ39%増加し、2026年はさらに増加が予測されるトレンドを示しています。右側のパッチ適用優先度マトリクスでは、CVE-2026-27681が「即時」の最優先パッチ対象であることを明示しています。
3つの構造的リスク
Onapsisの分析によると、SAP脆弱性には以下の3つの構造的リスクが存在します。
- 構造的脆弱性の蔓延: デシリアライゼーション、SQLインジェクションなど、同種の脆弱性が複数のコンポーネントにまたがって繰り返し発見されている。根本的なコード品質の問題が示唆される
- 攻撃の高速化: CVE-2025-31324では、パッチ公開から数時間以内にWebシェルの設置やランサムウェアの展開が確認された。従来の「パッチ公開→テスト→適用」というサイクルでは間に合わない
- ビジネスインパクトの直接性: SAPシステムは企業の基幹業務(財務、人事、物流)を支えており、脆弱性の悪用が即座に業務停止や財務的損失に直結する
日本企業への影響と対応手順
日本におけるSAP導入の現状
SAPジャパンの2024年度業績によると、日本市場での総売上高は約15億6,900万ユーロ(前年比17%増)を記録しています。特にクラウド売上は前年比36%増と、グローバル成長率を大きく上回っています。
日本では以下のような大手企業がSAPを導入しています。
- 製造業: トヨタ自動車、富士通、日本ゼオン
- エネルギー: ENEOS
- 消費財: 資生堂
- 運輸: 日本航空
- 商社: 三井物産グループ各社
経済産業省の推計では、日本企業の55%以上が2026年までにデジタルコア変革プロジェクトを進めており、その多くがSAP S/4HANAへの移行を含んでいます。この移行過程でBPC/BWを並行稼働している企業も多く、CVE-2026-27681の影響範囲は想像以上に広い可能性があります。
日本企業向け具体的対応手順
ステップ1: 影響範囲の確認(即日実施)
- SAP BPC(HANABPC 810、BPC4HANA 300)の利用有無を確認
- SAP BW(バージョン750〜758、816)の利用有無を確認
- バックエンドがMicrosoft SQL Serverかどうかを確認
- 該当するバージョンを使っている場合は、脆弱性のあるABAPプログラムの特定を行う
ステップ2: パッチ情報の取得
- SAP Support Portal(https://support.sap.com/)にログインし、Security Note 3719353を検索
- SAPジャパンのサポート窓口に問い合わせ、日本語での技術ガイダンスを要請
- SAP Security Patch Day公式ページ(https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html)で全パッチの一覧を確認
ステップ3: 緩和策の実施(パッチ適用までの暫定対応)
- BPC/BWのファイルアップロード機能に対するアクセス権限の見直し・制限
- 不要なユーザーアカウントの無効化
- データベースのアクセスログの監視強化(異常なSQL実行パターンの検出)
- WAF(Web Application Firewall)でのSQLインジェクションパターンのブロック
ステップ4: パッチの適用
- テスト環境でSecurity Note 3719353を適用し、BPC/BWの主要機能が正常動作することを検証
- 決算期と重なる場合は、リスク評価に基づいて緊急適用を判断
- 本番環境への適用後、アップロード機能が正常に動作することを確認
ステップ5: 事後確認
- 過去のアクセスログを遡り、脆弱性が悪用された痕跡がないか調査
- データベースの整合性チェック(特に財務データ、連結情報)
- インシデント対応計画の見直しと更新
SAPジャパンの対応状況
SAPジャパンは中期変革プログラム「Japan2026」を推進中であり、セキュリティ対応については以下のチャネルで情報を提供しています。
- SAP Support Portal: セキュリティノートの日本語要約と技術ガイド
- SAP Community Japan: 技術フォーラムでの質疑応答
- パートナー経由: アクセンチュア、NTTデータ、富士通など大手SIerがパッチ適用支援を提供
筆者の所感——エンタープライズソフトウェアの脆弱性管理が抱える構造的課題
「パッチを当てればいい」では済まない現実
CVE-2026-27681への対応として「パッチを当てましょう」と言うのは簡単ですが、現実のSAP運用ではそれが極めて難しいケースが多々あります。
決算期との衝突: 日本企業の多くは3月決算であり、4月は連結決算の真っ最中です。まさにBPC/BWが最も酷使されるタイミングでパッチ適用が求められるという、最悪のタイミングでの脆弱性公開です。テスト不十分なままパッチを適用すれば決算作業が止まり、パッチを後回しにすれば攻撃のリスクが残る——経営者は究極の二択を迫られます。
カスタマイズの壁: 多くの日本企業はSAP BPC/BWに独自のカスタマイズ(アドオン開発)を施しています。セキュリティパッチがこれらのカスタマイズに影響しないか検証するには、場合によっては数週間のテスト期間が必要です。しかし、CVSS 9.9の脆弱性に対して数週間待つことは許容されるのでしょうか。
サプライチェーン全体の問題: BPC/BWはグループ会社間の連結決算に使われるため、親会社がパッチを適用しても子会社のシステムが脆弱なままでは意味がありません。グループ全体のパッチ適用を統制する仕組みが求められます。
セキュリティとビジネス継続性のジレンマ
SAPのようなミッションクリティカルシステムの脆弱性は、IT部門だけの問題ではありません。CFO、CIO、CISOが三者で議論し、リスクベースの判断を行う必要があります。
筆者の見解として、今後のSAP運用では以下の3つのシフトが不可避です。
- 「定期パッチ」から「継続的パッチ管理」へ: 月次のパッチサイクルでは攻撃の高速化に対応できない。仮想パッチ(WAFルール、IPSシグネチャ)と実パッチの二段構えが標準になる
- 「テストしてから適用」から「適用しながらテスト」へ: ブルーグリーンデプロイメントのような手法をSAP環境にも導入し、パッチ適用の速度を上げる必要がある
- 「IT部門の管轄」から「経営リスク」へ: CVSS 9.9の脆弱性は取締役会レベルのリスクとして扱うべき。パッチ適用の遅延は、サイバー保険の免責事項にも該当し得る
2026年後半への予測
2025年にSAPのHotNews(CVSS 9.0以上)が前年比127%増加したトレンドを踏まえると、2026年はさらにエスカレートする可能性が高いと考えます。特に以下の領域でリスクが高まるでしょう。
- S/4HANA移行期の脆弱性: 旧システムと新システムが並行稼働する移行期は、攻撃対象面(アタックサーフェス)が最大化する
- クラウド版SAPの脆弱性: SAP BTPやRISE with SAPのようなクラウドサービスに固有の脆弱性が増加する見込み
- AIを活用した攻撃: 脆弱性の自動発見やエクスプロイトコードの自動生成にAIが使われるようになり、ゼロデイ攻撃の間隔がさらに短縮される
実際の対策として——1Passwordによる認証情報管理の強化
CVE-2026-27681の悪用には「低権限でも認証済みユーザー」が必要です。つまり、SAPアカウントの認証情報が漏洩すれば攻撃の第一歩が完成します。企業のパスワード管理を1Passwordのようなエンタープライズ向けパスワードマネージャーで一元管理することは、この種の攻撃に対する重要な防御層となります。
特に以下の機能が有効です。
- 強力なパスワード生成: SAPアカウントに推測困難なパスワードを自動生成
- Watchtower機能: 漏洩したパスワードの自動検出と通知
- チーム間の安全な共有: 監査人や外部コンサルタントとのアカウント共有を安全に管理
- シングルサインオン連携: SAP環境とのSSO統合による多要素認証の強制
まとめ——今すぐ取るべきアクションステップ
CVE-2026-27681は、SAPユーザー企業にとって「対応の遅れが許されない」レベルの脆弱性です。以下のステップを今すぐ実行してください。
- 即日: SAP BPC/BWの利用状況とバージョンを確認し、影響範囲を特定する
- 24時間以内: SAP Support Portalから Security Note 3719353 をダウンロードし、テスト環境でパッチ適用を開始する
- 48時間以内: ファイルアップロード機能のアクセス権限を最小限に制限する暫定対策を実施する
- 1週間以内: テスト完了後、本番環境にパッチを適用する。決算作業との調整が必要な場合は、CISO主導でリスク判断を行う
- 2週間以内: 過去のアクセスログを調査し、脆弱性が悪用された形跡がないことを確認する
- 継続: SAP Security Patch Dayの情報を毎月チェックする体制を構築し、次回以降の迅速なパッチ適用に備える
SAPシステムは企業の基幹業務そのものです。CVSS 9.9の脆弱性を放置することは、会社の財務データを鍵のかかっていない金庫に入れておくのと同じです。パッチ適用のコストと、データ漏洩・改ざんのコストを天秤にかければ、答えは明白でしょう。
「セキュリティ」カテゴリの記事
- セキュリティ
Microsoft 4月パッチ168件、SharePointゼロデイ実攻撃中
- セキュリティ
Axios CVSS 10.0脆弱性——Prototype PollutionからRCE・クラウド乗っ取りへ
- セキュリティ
FBIがW3LLフィッシング帝国を壊滅——$20M詐欺を支えたPhaaS開発者を逮捕
- セキュリティ
FortiClient EMSにCVSS 9.1のゼロデイ——認証不要で任意コード実行
- セキュリティ
Smart Slider 3 Proが乗っ取られた——90万サイトに迫るバックドアの全貌
- セキュリティ
Marimo脆弱性CVE-2026-39987——公開10時間でroot奪取が始まった