ServiceNowは、攻撃者が脆弱なAPIエンドポイントを通じて認証不要のアクセス欠陥を悪用し、顧客インスタンスのデータを照会できた状態だったことを受け、セキュリティインシデントを警告しています。
同社は「異常なアクティビティ」を検知した後、サポートブレティンおよび個別のサポートケースを通じて、影響を受けた顧客に対して静かに警告を発しました。
ServiceNowの顧客サポートログインポータル内に非公開で掲載されているブレティンによると、同社は2026年6月5日にホスト型顧客インスタンスへセキュリティアップデートを適用したとのことです。
「2026年6月5日、ServiceNowはホスト型顧客インスタンスにセキュリティアップデートを適用しました」とブレティンには記されています。
「このアップデートは、特定の状況下において認証されていないユーザーがServiceNowインスタンスに対して意図以上のアクセスを取得できる可能性があるセキュリティ上の問題に対処するものです。」
同社によると、このセキュリティアップデートはAPIエンドポイントの設定を変更し、認証済みユーザーのみにアクセスを制限するものだといいます。
ServiceNowはまた、攻撃者がこの欠陥を実際に悪用し、顧客インスタンスのテーブルへの照会に成功していたことも認めています。
攻撃中にどのようなデータが取得されたかについてServiceNowは明らかにしていませんが、インスタンスにはITサポートチケット、従業員情報、社内ドキュメント、資産台帳、セキュリティインシデントレポート、ワークフローデータ、企業システム・サービスの設定情報など、機密性の高いエンタープライズ情報が一般的に保存されています。
サポートケースの情報は脅威アクターの標的として近年増加傾向にあります。チケットにはトラブルシューティング中に共有された認証情報、APIトークン、社内ドキュメント、認証シークレットなどが含まれる場合があるためです。
アドバイザリによると、ServiceNowは現在、影響を受けた顧客に対してサポートケースを開設しています。サポートケースを受け取っていない顧客は、今回のインシデントの影響を受けていないと考えられています。
ServiceNowは欠陥の技術的な詳細を公式には開示していませんが、Redditでインシデントを議論している管理者たちによると、この問題は/api/now/related_list_edit/createというRESTエンドポイントに関連しているとみられています。
あるコメント投稿者は、このエンドポイントがrequires_authentication=falseに設定されており、未認証のリクエストがインスタンスデータにアクセスできる状態だった可能性があると主張しています。6月5日(金)にリリースされたセキュリティアップデートは、requires_authenticationをtrueに変更するために使用されたとされています。
複数の管理者が侵害の痕跡(IoC)を共有しており、IPアドレス51.159.98.241からのAPIリクエストが確認されているとして、他の管理者に対して脆弱なエンドポイントへのリクエストについてログを確認するよう呼びかけています。
ブレティンによると、この問題は主にAustraliaプラットフォームリリースを使用している顧客、またはそれ以前のリリースで特定の設定変更を加えた顧客に影響するとのことです。
「このセキュリティ問題は、Australiaプラットフォームリリースを使用している顧客、またはAustralia以前のリリースのインスタンスに特定の設定変更を加えた顧客に関係します」とServiceNowは警告しています。
BleepingComputerは本日、読者からこのインシデントの情報提供を受けた後、ServiceNowに対してアクティビティの継続期間、問題の原因、顧客データが盗まれたかどうかについて問い合わせを行いましたが、掲載前に回答は得られませんでした。
ServiceNowは、今回の問題についてCVEを公開するかどうか現在検討中だとしています。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが記録できるのは攻撃成功の54%に過ぎず、アラートが発せられるのはわずか14%です。残りは環境内を検知されることなく進行しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMとEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。
