ServiceNowは月曜日、同社のAIプラットフォームにおける重大なセキュリティ脆弱性に対処したと明らかにした。この脆弱性により、認証されていないユーザーが正規ユーザーになりすまし、権限のない操作を実行できた可能性があった。
この欠陥はCVE-2025-12420として指定され、深刻度スコアは10点中9.3。10月にSaaSセキュリティ企業AppOmniによって発見された。ServiceNowは2025年10月30日に大半のホスト型インスタンスへ修正を展開し、パートナーおよびセルフホストの顧客向けにパッチを提供した。同社は、修正前にこの脆弱性が悪用された証拠はないとしている。
この脆弱性はNow Assist AI AgentsおよびVirtual Agent APIコンポーネントに影響した。影響を受けるバージョンを使用している顧客には、パッチ適用済みリリースへのアップグレードが推奨された。対象となるのはNow Assist AI Agentsのバージョン5.1.18以降および5.2.19以降、ならびにVirtual Agent APIのバージョン3.15.2以降および4.0.4以降である。
今回の開示は、セキュリティ研究者が企業向けAIシステムの設定および展開に関して、より広範な疑問を提起する中で行われた。脆弱性発見につながったAppOmniの研究では、ServiceNowのNow Assistプラットフォームにおけるデフォルト設定が、二次的プロンプトインジェクション攻撃を可能にし得ることも明らかになった。これは、ユーザーの直接入力ではなく、AIエージェントが処理するデータを介してエージェントを操作する高度な攻撃手法である。
これらの攻撃は、エージェントディスカバリーと呼ばれる機能を悪用する。この機能は、AIエージェント同士が通信して複雑なタスクを完了できるようにするものだ。機能性を高める目的で設計されている一方で、エージェントの設定が不適切であったり、十分な制御なしにまとめてグループ化されたりすると、潜在的な攻撃ベクトルを生み出す。
テストシナリオでは、研究者は低権限ユーザーがデータフィールドに悪意ある指示を埋め込み、その後に高権限ユーザーのAIエージェントがそれを処理してしまうことを実証した。侵害されたエージェントはさらに、より強力な別のエージェントを呼び寄せて、制限されたレコードへのアクセス、データの改ざん、さらにはユーザー権限の昇格の可能性を含む不正な操作を実行できた。
これらの攻撃は、ServiceNowのプロンプトインジェクション防御機能が有効であっても成功しており、設定の選択がAIシステム自体に組み込まれたセキュリティ制御を損ない得ることを浮き彫りにした。研究者は、デフォルト設定がエージェントを自動的にチームへグループ化し、かつ検出可能としてマークしていたため、攻撃者が悪用できる意図しない協調経路が生まれていたことを突き止めた。
この研究は、企業向けAI導入における根本的な課題を示している。すなわち、セキュリティは基盤技術だけでなく、組織がこれらのシステムをどのように設定し管理するかにも依存するという点だ。ServiceNowは、研究者が指摘した挙動が意図的な設計上の選択であったことを確認し、設定オプションを明確化するためにドキュメントを更新した。
ServiceNowのAIプラットフォームを利用する組織は、自律型エージェントの能力とセキュリティリスクのバランスを取る必要がある。研究では、強力な権限を持つエージェントに人間の監督を必須とすること、機能に基づいてエージェントを分離されたチームにセグメント化すること、想定されるパターンからの逸脱がないかエージェントの挙動を監視することなど、複数の緩和策が示されている。
脆弱性に関する詳細はServiceNowのウェブサイトで確認できる。
翻訳元: https://cyberscoop.com/servicenow-fixes-critical-ai-vulnerability-cve-2025-12420/
