ServiceNowは、ある脆弱性が顧客環境を標的とするために悪用された可能性があると警告していましたが、その後、この活動はバグバウンティリサーチによるものと結論づけました。
このビジネスワークフローソフトウェア企業は昨日、ゲート付きナレッジベース記事を通じて、「セキュリティ上の問題」に関連した異常なアクティビティを検出したと顧客に通知しました。同社は当該問題を明示的に脆弱性とは呼んでいませんでしたが、意図された範囲を超えたアクセスを許容するおそれがありました。また、認証されていないユーザーが、一部のServiceNow顧客に属する特定のインスタンステーブルへのクエリに成功していたことも判明しています。
この問題は6月5日のアップデートで対処され、ホスト型顧客インスタンスに適用されました。最初のナレッジベース記事に記載されていた技術的な詳細は、「セキュリティアップデートにより、認証済みユーザーのみにアクセスを制限するようエンドポイントの設定が変更される」という点のみでした。
「このセキュリティ問題は、Australiaプラットフォームリリースを使用している顧客、またはAustralia以前のリリースのインスタンスで特定の設定変更を行った顧客に関係します」と同社は述べています。「弊社からケース通知を受けていない場合は、お客様のインスタンスにおいてそのような活動は確認されておらず、現時点で対応は不要です。」
本日、ServiceNowは公開形式の追加セキュリティ通知を発表し、同社の調査に基づき、「確認された活動はセキュリティリサーチャーまたは顧客による調査に起因するものと考えられる」と明らかにしました。
「2026年6月3〜4日、複数の顧客が、特定の状況下で認証されていないユーザーがServiceNowインスタンス内の情報に不正アクセスできるおそれのあるセキュリティ問題に関するバグバウンティプログラムへの申請を共有しました」とServiceNowは述べています。「これらの申請は、2026年4月22日に当社のバグバウンティプログラムに送られた非公開の申請と類似していました。」
脅威アクターと誤認されたバグバウンティリサーチャー
ServiceNowは当該リサーチャーと連絡を取っており、リサーチャーは活動がバグバウンティへの申請のみを目的としたものであり、「データは一切使用も保持もされていない」と説明しているとしています。
「2026年6月7日、2人のセキュリティリサーチャーが当社のバグバウンティプログラムにレポートを提出しました。現時点での調査に基づき、確認された活動はセキュリティリサーチャーまたは独自調査を実施した顧客に起因するものと考える根拠があります」と通知には記されています。「ただし、調査は現在も継続中であり、追加の検証が必要です。今回の調査は複数の組織にまたがるものであったため、一部のお客様は同じリサーチャーから関連するバグバウンティの申請を受け取っている可能性があります。」
セキュリティエコシステムの重要な構成要素である独立系セキュリティリサーチ(バグバウンティを通じて行われることが多い)は、幅広い活動を包含しています。残念ながら、独立した調査活動の性質上、何らかの理由でリサーチャーが脅威アクターとして誤認されてしまうことがあります。逆に、脅威アクターがリサーチャーやペネトレーションテスターを装うケースも存在し、組織が攻撃者をそのように位置づけた事例もあります。今回は、バグバウンティリサーチが悪意ある活動と誤認された可能性があります。
SOCRadarのCISOであるEnsar Seker氏は、このような状況は比較的まれではあるものの、前例がないわけではないと述べています。
「ほとんどのバグバウンティリサーチャーはプログラムの対象範囲を理解し、それを尊重しています。なぜなら、彼らの評判や今後の参加機会、報酬の可能性がルールの遵守にかかっているからです」と同氏はDark Readingに語っています。「しかし、大規模なクラウド環境では、正当なセキュリティリサーチと無許可のテストの境界線が曖昧になることがあります。特に、リサーチャーが意図した対象範囲を予期せず超えるパスを発見したり、本番リソースへのアクセスが露呈したりする場合はなおさらです。」
ServiceNowの広報担当者はDark Readingに対し、ホスト型顧客へのセキュリティアップデートを適用済みであり、影響を受けた顧客には直接通知を行ったと説明しました。また、影響を受けた顧客の範囲は「広範ではなかった」と述べています。
