脆弱性診断・ASMツール「GMOサイバー攻撃 ネットde診断」、Oracle EBSとSAP NetWeaverの深刻な脆弱性に対応する新機能

　GMOサイバーセキュリティ byイエラエ株式会社は12日、アタックサーフェスマネジメント（ASM）ツール「GMOサイバー攻撃 ネットde診断 ASM」をアップデートしたと発表した。Oracle E-Business Suite（EBS）およびSAP NetWeaverの利用と脆弱性が悪用される可能性のある機能を検知した場合に、深刻な脆弱性が存在する可能性を通知する診断項目を追加している。

　「GMOサイバー攻撃 ネットde診断 ASM」は、企業のWebサイトやネットワーク機器などのIT資産を自動で特定し、定期的にセキュリティ診断を行うことで、組織全体の脆弱性対策を支援するサービス。今回は新たに、すでに悪用が確認されている2つの脆弱性対応を支援するためのアップデートを行った。

　1つ目の脆弱性は10月5日に公開された「Oracle E-Business Suiteの任意コード実行（CVE-2025-61882）」。認証不要で任意のコード実行が可能となる非常に危険性が高い脆弱性で、ソフトウェアやシステムに存在する脆弱性の危険度を0～10.0の数値で表すCVSSスコアは9.8（Critical）となっている。

　今回のアップデートにより「GMOサイバー攻撃 ネットde診断 ASM」は、Oracle EBSの利用と、この脆弱性が悪用される可能性のある機能を検知した場合に、深刻な脆弱性が存在する可能性を通知する。これにより、利用者は対策方針の決定を優先的に行えるようになるとのこと。

　2つ目の脆弱性は、4月24日に公開された「SAP NetWeaverのファイルアップロード脆弱性（CVE-2025-31324）」。認証不要で任意ファイル（悪意のあるスクリプトなど）をアップロードでき、結果としてリモートコード実行に至る可能性がある。CVSSスコアは最大値の10.0（Critical）で、極めて危険性が高い脆弱性である。

　こちらについても、「GMOサイバー攻撃 ネットde診断 ASM」は、SAP NetWeaverの利用と、この脆弱性が悪用される可能性のある機能を検知した場合に、深刻な脆弱性が存在する可能性を通知する。これにより、利用者は対策方針の決定を優先的に行えるようになるとしている。