クラウドコンピューティング大手の**ServiceNow**は、顧客インスタンスへの不正アクセスを可能にした脆弱性の悪用を伴うセキュリティインシデントを確認しました。同社は、この脆弱性に対処するため、2026年6月5日に緊急のセキュリティアップデートを展開しました。 **ServiceNow**は勧告の中で、「このアップデートは、特定の状況下で認証されていないユーザーが、意図されたよりもServiceNowインスタンスへのアクセス権限を拡大できる可能性のあるセキュリティ問題に関するものです」と述べており、詳細については顧客アクセスが必要です。  ### 脆弱性の詳細が明らかに 現在**CVE**識別子が割り当てられていないこの脆弱性は、**Reddit**での議論を通じて初めて公に注目されました。セキュリティアップデートでは、この権限昇格アクセスを認証済みユーザーのみに制限するために、エンドポイント構成が変更されました。 **ServiceNow**は、この問題に関連する異常なアクティビティを検出し、「一部の顧客」に対してインスタンステーブルに対するクエリが成功したことを確認したと報告しています。影響を受けた顧客には直接通知されています。 ### 対象となったインスタンスと事前の知識 **ServiceNow**によると、このセキュリティ問題は主に「オーストラリアプラットフォームリリース」の顧客、または以前のリリースでインスタンスに特定の構成変更を行った顧客に影響を与えました。 興味深いことに、「d3s7iny」という名前の**Reddit**ユーザーは、自身のセキュリティチームがこの脆弱性を**ServiceNow**に報告しており、同社は2026年4月7日からこの問題を知っていたと主張しています。約2ヶ月間、この問題は緊急性が低いと分類され、修正は将来のアップデートで予定されていたとのことです。 ### 悪用が確認され、バグバウンティへの提出も **ServiceNow**はその後、このインシデントを公に認め、「この活動の一環として、一部の顧客インスタンスが正常にクエリされた」ことを確認しました。悪意のある活動は2026年6月2日に始まったと報告されています。 同社の勧告ではさらに、「2026年6月3日から4日にかけて、顧客はバグバウンティプログラムに、特定の状況下で認証されていないユーザーが**ServiceNow**インスタンス内の情報への意図しないアクセスを可能にする可能性のあるセキュリティ問題に関する提出を行いました。これらの提出は、2026年4月22日にバグバウンティプログラムに送信された機密の提出と類似していました。」と述べられています。 **ServiceNow**の広報担当者は、「この[インシデント]の影響を受けた一部の顧客に直接連絡することが最優先事項であり、広範囲に及ぶものではありませんでした」と強調しました。