ERPシステムをハッキングするには単なる技術的専門知識以上のものが必要になると、SecureStateのリサーチおよびイノベーション・チーム担当ディレクターを務めるマシュー・ニーリー（Matthew Neely）氏は語った。データベースに含まれる情報を理解し、すぐに犯罪が露見しないよう口座を操作するために会計士の存在が欠かせないという。
同研究者らは、Great Plainsクライアントを経由して「Microsoft SQL Server」データベースに接続する方法を探り出した。実際に接続する前に、サイバー犯罪者はGreat Plainsユーザーをだまして悪質な電子メール添付ファイルをクリックさせるか、攻撃コードをダウンロードしてくるWebサイトを閲覧させなければならない。
コードがいったんインストールされると、クライアントとデータベース間の通信がODBC（Open Database Connectivity）を介して傍受され、コマンドが挿入されるとニーリー氏は説明した。
ハッカーはこの時点で金融データを操作し、エントリを改竄して資金を外部の口座へ移すことができるようになる。
どの程度洗練されたものになるかによって事態は異なるだろうが、こうしたコードが本物のマルウェアに発展した場合、ウイルス対策ソフトウェアはこれをすぐには検知できないかもしれない。隠れていられる期間の長さは、使用されるセキュリティ技術に左右されるだろう。

ERPのセキュリティ確保はきわめて重要な事柄であるにもかかわらず、システムに高度なカスタマイズが施されているケースが多く、アップデートも複雑になりがちなことから、長期間にわたり同システムにパッチを適用しない企業がまま見受けられる。

http://www.computerworld.jp/topics/563/205813