SAP、Critical評価の脆弱性を複数修正（CVE-2026-0501、CVE-2026-0500他）

nosa

2026.01.14

SAP、2026年1月のセキュリティアップデートで重大な脆弱性を修正（CVE-2026-0501、CVE-2026-0500他）

SecurityWeek – January 13, 2026

エンタープライズソフトウェアメーカーのSAPは13日、2026年1月のセキュリティパッチをリリースし、深刻度が「Critical」の脆弱性4件を含む17件のバグに対処した。

この中で最も深刻な欠陥は、S/4HANAにおける重大なSQLインジェクションバグのCVE-2026-0501（CVSSスコア9.9）だった。これを発見・報告したセキュリティ企業Onapsisによると、ネイティブSQL文の実行にABAPデータベース接続（ADBC）フレームワークを利用するリモートファンクションコール対応モジュールに影響を与えるという。

次に重大なバグは、Wily Introscope Enterprise Managerにおけるリモートコード実行の脆弱性（CVE-2026-0500、CVSSスコア9.6）。3つ目はS/4HANAにおけるコードインジェクションの脆弱性（CVE-2026-0498、同9.1）で、Landscape Transformationにおけるコードインジェクションの欠陥（CVE-2026-0491、同9.1）がこれに続く。

また、HANAデータベースやApplication Server for ABAP、NetWeaver RFCSDK、Fiori App、NetWeaver Application Server ABAPおよびABAP Platformにおける深刻度の高い脆弱性4件のセキュリティノートも公開された。残り9件はERP Central Component、S/4HANA、NetWeaver、Business Connector、Supplier Relationship Management、Fioriアプリ、BSPアプリケーション、Identity Management、そしてNW AS Java UME User Mappingにおける脆弱性で、これらの深刻度は中程度から低程度と評価されている。

2025年第4四半期のマルウェア動向：Telegramバックドアとバンキング型トロイの木馬が急増、Google PlayにJokerが復活

HackRead – January 13, 2026

ロシアのセキュリティベンダーDoctor Webから、2025年第4四半期のモバイルマルウェアに関する最新レポートが発表された。このレポートによると、Telegram Xの改変版が数万台のAndroidデバイスに巧妙なバックドアマルウェアを配布し、感染を広げていることが判明している。

Android.Backdoor.Baohuo.1.originと名付けられたこのバックドアは、人気メッセージングアプリTelegram Xの非公式ビルドに潜伏。サードパーティのアプリカタログや疑わしいWebサイトを通じて拡散されていると報告された。このマルウェアがインストールされると、攻撃者は被害者のTelegramアカウントを操作できるようになり、チャンネルへの参加・退出、アカウント履歴での新規ログインの非表示、特定のメッセージの非表示などが可能になるという。約5万8,000台のデバイスが感染し、約3,000機種に影響を及ぼしたとDoctor Webは報じている。

感染はスマートフォンだけにとどまらず、Android搭載タブレットやスマートテレビ、テレビボックス、さらには車載システムにも影響を与えているようだ。感染範囲の広さは、Playストア以外でAPKファイルをインストール可能なすべてのAndroidシステムが狙われていることを意味すると記された。

そのほかにもバンキング型トロイの木馬、とりわけAndroid.Bankerファミリーの急増が確認され、これらの脅威は65％以上増加したとのこと。その一方でMobiDashやHiddenAdsなどのアドウェアは減少したが、AdPushのようなモジュールが依然として多く検出されたことに加え、悪名高いマルウェア「Joker」とトロイの木馬「FakeApp」がGoogle Playに再び出現し、削除されるまでに26万3,000回以上インストールされたこともわかった。