チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「SAMLの署名って堅牢じゃなかったんでしゅか?」
「一般ユーザの権限でも管理者に化けられるって、本当でしゅか?」
チップスうちの基幹もSAPでしゅ……何を最初に確認すればいいでしゅか?
ボスふふふ、CVSS 9.9はSAP界隈でも最上位のラインだ。今回は仕組みを正しく理解しないと、緩和策を間違えるぞ。
本記事ではSAP 2026年6月パッチデーの目玉であるCVE-2026-44748の中身と、企業システム部門が直ちに取るべき対応を解説します。
読み終える頃には、SAP基盤に対する2026年6月の対応計画が組み立てられるようになります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずはSAPが6月パッチデーで公表した最重要案件、CVE-2026-44748の本質を整理します。
CVE-2026-44748は、SAP NetWeaver AS ABAPおよびABAP PlatformのSAML認証で使われる署名XML文書の検証ロジックに残っていた古典的な弱点を突きます。
攻撃者は一般ユーザ権限で正規にログインし、自分宛に発行された署名済みSAMLレスポンスを取得したうえで、署名ブロックを保持したままユーザ識別子などのアサーションを差し替えて再送信します。
検証側が「署名は有効」と判断しつつ実体は別人のIDを受け入れてしまうため、なりすましや権限昇格、機微データへの不正アクセスが成立します。
影響範囲はSAP_BASIS 702から919までと広く、長期運用中の基幹システムほど該当する恐れがあります。
本脆弱性の要点をまとめると以下のとおりです。
| 項目 | 内容 |
|---|---|
| 識別子 | CVE-2026-44748 |
| CVSS | 9.9(最高クラス) |
| 対象 | SAP NetWeaver AS ABAP / ABAP Platform(SAP_BASIS 702〜919) |
| 攻撃要件 | 有効なアカウントによる認証済みアクセス、低権限で可 |
| 影響 | SAML ID情報改ざんによるなりすまし、権限昇格、機微データ閲覧 |
チップスSAML自体は世界中で使われてる仕組みでしゅよね……ほかの製品も大丈夫なんでしゅか?
ボスXML Signature Wrappingは過去にも各社で何度も繰り返し見つかっている古典問題だな。SAP以外の自社製・自前SAMLサービスも同じ視点で点検する価値はある。
6月パッチデーはCVE-2026-44748だけでなく、複数の重大脆弱性が同時に修正されました。
恒久対策はSAPが提供する6月パッチデーのSecurity Noteを適用することで、ABAPとJava両方の基盤を漏れなく対象に含める必要があります。
あわせて公表されたCVE-2026-27671(RFC検証のメモリ破損、認証不要・CVSS 9.8)、CVE-2026-40128(Javaコンテナのディレクトリトラバーサル)、CVE-2026-22732(SAP Commerce Cloud/Data HubのSpring Security)も致命度が高く、後回しにできません。
パッチ検証に時間が必要な場合は、SAMLログイン経路へのアクセス元IPを業務範囲に絞り、不要なテナントは一時的にSAML無効化やID連携停止で攻撃面を狭めるのが現実的です。
同時に、SAP監査ログでSAML関連のエラーやアサーション再送の急増を検知できる体制を整えておきましょう。
本パッチサイクルで押さえたい対応は以下のとおりです。
チップスSAPは止めにくいシステムでしゅ……パッチ前にできる暫定策が用意できるのは助かるでしゅ。
ボスそうだな。検証期間中に侵入されないよう「経路を狭める」「監視を上げる」の2点を必ず併走させること。これがSAP運用の鉄則だ。
CVE-2026-44748は、認証済み一般ユーザがSAMLの仕組みを悪用して権限を奪える、SAP基盤として極めて深刻な脆弱性です。
パッチ未適用のままでは、業務システムへの広範な不正アクセスと内部からのデータ持ち出しを許す可能性があり、影響範囲が広いSAP_BASIS構成では迅速な対応が欠かせません。
パッチ適用と並行してSAML経路の暫定保護・監視強化を実施し、CVE-2026-27671などの併走脆弱性も漏れなく潰す姿勢が問われます。
SAP基盤のセキュリティ強化に踏み込みたい方は、ぜひセキュリティフリーランス案件で実環境の改善に挑んでみてください。
参考: Cyber Security News「SAP Security Patch Day June – Critical Vulnerabilities in SAP NetWeaver Patched」 / SecurityOnline「SAP Security Patch Day: Critical Security Vulnerabilities Remediated」
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
