- 未認証の攻撃者が一部の顧客インスタンステーブルを照会できるAPIの欠陥をServiceNowが修正
- 問題は主にAustraliaリリース、またはカスタム設定を行った旧バージョンの顧客に影響
- 管理者は/api/now/related_list_editへのリクエスト(特にIPアドレス51.159.98.241からのもの)のログ確認を推奨
ServiceNowは一部の顧客に対し、サイバー犯罪者がAPIエンドポイントの欠陥を悪用してデータへのアクセスを試みたことを通知しました。
同社はカスタマーサポートポータルに掲載したサポート情報の中で、「特定の状況下において、未認証のユーザーが意図された範囲を超えてServiceNowインスタンスへのアクセスを得ることができる」可能性のある問題に対処したと説明しています。
同情報によると、2026年6月5日に修正が適用され、APIのエンドポイント設定が変更され、認証済みユーザーのみにアクセスが制限されました。
Australiaリリースへの影響
同社は、攻撃者が脆弱性を悪用して顧客インスタンスのテーブルを照会したと述べていますが、実際にどのような種類のデータにアクセスされたかについては明らかにしていません。
これらのインスタンスには通常、ITサポートチケット、従業員記録、社内ドキュメント、資産インベントリ、セキュリティインシデントレポート、ワークフローデータ、企業システムやサービスの設定情報など、機密性の高いエンタープライズ情報が保存されています。
ただし、これはこうした情報が実際にアクセスされたことや、影響を受けたすべての顧客がそのデータを失ったことを意味するものではありません。
サポート情報の続きで同社は、今回の問題は主にAustraliaプラットフォームリリースを使用している顧客、およびそれ以前のリリースで特定の設定変更を行った顧客に影響したと説明しています。
「このセキュリティ問題は、Australiaプラットフォームリリースを使用している顧客、またはAustralia以前のリリースのインスタンスに特定の設定変更を加えた顧客に関係します」とServiceNowは警告しています。
同社は、サポートケースを開設することで影響を受けた顧客に通知済みだと述べています。そのため、サポートケースが開設されていないServiceNow顧客は、データは安全と考えて差し支えありません。
その他の管理者は、/api/now/related_list_editへのリクエスト、特にIPアドレス51.159.98.241からのリクエストについてログを確認することが推奨されています。また、漏洩の可能性があるチケットやレコードに機密情報が含まれていないか確認し、サポートワークフローを通じて共有されたパスワードやトークンを更新し、APIロギングが有効になっていることを確認してください。
