ServiceNow Confirms Vulnerability Allowing Unauthorized Access to Customer Instance Tables
2026/06/10 CyberSecurityNews — ServiceNow が認めたのは、顧客インスタンスのテーブルに対するクエリ実行を、未認証の攻撃者に許す可能性のある、セキュリティ脆弱性 CVE-N/A の存在である。脅威インテリジェンス・チャネルを通じて明らかになったのは、この問題により、企業環境全体におけるデータ露出や情報漏洩への懸念が高まっていることである。情報によると、不適切なアクセス制御を突く攻撃者が、適切な認証なしにバックエンドのインスタンス・テーブルに対してクエリを実行する可能性があるという。
ServiceNow は、IT Service Management (ITSM) やエンタープライズ・ワークフローで広く利用され、機密性の高い運用データや業務データをホストするため、このような脆弱性は深刻な問題となる。初期報告によると、この欠陥を悪用する脅威アクターが、ServiceNow インスタンス内に保存された構造化データへアクセスする可能性がある。
これらのテーブルに含まれるのは、コンフィグ・データ/ユーザー・レコード/インシデント・ログ/内部ワークフロー情報などである。このようなデータに対する不正なクエリ実行は、攻撃者に対して権限昇格やラテラル・ムーブメントといった、さらなる攻撃で悪用できる情報を提供し得るものとなる。
ServiceNow が脆弱性を確認
この脆弱性を認めた ServiceNow は、問題を軽減するための措置を講じたと述べている。同社は、積極的な悪用を防ぐために、詳細な技術情報を公開していないが、この欠陥に対処するためのセキュリティ・アップデートおよびパッチを展開したことを確認している。セキュリティ研究者たちが指摘するのは、この脆弱性が API リクエストの検証不足またはアクセス制御リスト (ACL) のミスコンフィグに起因する可能性である。
このような状況において、攻撃者が通常の認証チェックを回避するよう細工したリクエストを作成し、制限されたテーブルからデータを取得できる可能性がある。幸いなことに、現時点では実環境における広範な悪用を示す証拠は確認されていない。しかし、ServiceNow は、大企業/政府機関/重要インフラ分野で広く採用されているため、潜在的な影響は甚大である。
ServiceNow を利用する組織に強く推奨されるのは、以下の対応を速やかに実施することである。
- ServiceNow が提供する、最新のセキュリティ・パッチおよびアップデートを適用する。
- アクセス制御設定を見直し、最小権限の原則が適切に適用されていることを確認する。
- ログを監視し、異常なクエリ活動や不正アクセス試行を検知する。
- インスタンス設定および公開されている API に対して、内部監査を実施する。
脅威の観点から見ると、一般的なエンタープライズ・プラットフォーム攻撃で観測される手法と、この脆弱性の悪用手法は一致している。攻撃者は、ミスコンフィグや脆弱なアクセス制御を標的として、クラウド・ベースのシステムへの侵入の足掛かりを得ようとする。
このインシデントが浮き彫りにするのは、SaaS プラットフォームにおけるリスクの高まりである。その背景として挙げられるのは、単一の脆弱性が共有インフラ上の複数の顧客に影響を及ぼす可能性である。
また、この問題は、クラウド環境における継続的な監視/迅速かつ適時なパッチ適用/厳格なアクセス管理の重要性を改めて示している。セキュリティ・チームにとって必要なことは、ServiceNow が業務ワークフローの中核を担う環境における、自組織のリスクに対する積極的な評価である。
訳者後書:今回の問題で注目すべき点は、不適切なアクセス制御や API リクエスト検証の不備として挙げられる問題です。認証や権限の設定に問題が生じると、本来はアクセスできないはずのデータに対してクエリが実行される恐れがあります。それにより、コンフィグ・データ/ユーザー情報/内部ワークフロー情報などの機密データが露出するリスクにつながります。また、こうした情報は単独でも価値がありますが、攻撃者にとってはラテラル・ムーブメントや権限昇格の足掛かりとなる可能性もあります。ご利用のチームは、ご注意ください。よろしければ、ServiceNow での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.