デジタルワークフローのリーディングカンパニーである**ServiceNow**は、認証されていないAPIエンドポイントが悪用されたセキュリティインシデントを確認しました。この脆弱性により、不正なアクターが顧客インスタンスからデータを照会できるようになり、機密性の高いエンタープライズ情報の漏洩が懸念されています。 ### サイレント開示と修復 同社は、影響を受けた顧客にサポート掲示板や直接のサポートケースを通じて通知し、この問題を静かに解決しました。この措置は、脆弱性に関連する「異常なアクティビティ」が検出された後に行われました。2026年6月5日、ホストされている顧客インスタンスにセキュリティアップデートが適用されました。 内部掲示板によると、このアップデートは、認証されていないユーザーに**ServiceNow**インスタンスへの意図しないアクセスを許可する可能性のあるセキュリティ問題に対処したとのことです。修正の核心は、影響を受けたAPIエンドポイントを再構成し、認証されたユーザーのみにアクセスを制限することでした。 ### 悪用の確認 **ServiceNow**は、攻撃者がこの脆弱性を悪用して顧客インスタンステーブルを照会したことを確認しました。アクセスされた具体的なデータは明らかにされていませんが、**ServiceNow**インスタンスには、ITサポートチケット、従業員記録、内部ドキュメント、資産インベントリ、セキュリティインシデントレポート、および企業のシステム構成詳細など、機密性の高いエンタープライズデータが豊富に格納されていることが一般的です。 ### サポートチケットの魅力 サポートケースの情報は、トラブルシューティングプロセス中に共有される可能性のある貴重な認証情報、APIトークン、内部ドキュメント、および認証シークレットが含まれている可能性があるため、脅威アクターにとって主要なターゲットとなっています。 **ServiceNow**は、特定されたすべて影響を受けた顧客とのサポートケースを開始しました。組織がそのような連絡を受けていない場合、現時点ではこのインシデントの影響を受けていないと考えられています。 ### コミュニティから明らかになる技術的詳細 **ServiceNow**は脆弱性の技術的な詳細を公に公開していませんが、**Reddit**上の管理者間の議論では、この問題は`/api/now/related_list_edit/create`にあるRESTエンドポイントに関連していることが示唆されています。コミュニティメンバーは、このエンドポイントが`requires_authentication=false`で構成されており、認証されていないリクエストがインスタンスデータにアクセスできるようになっていたと主張しています。その後のセキュリティアップデートでは、`requires_authentication`が`true`に設定されたとのことです。 侵害の兆候（IoC）も共有されており、IPアドレス`51.159.98.241`からのAPIリクエストが含まれています。管理者は、脆弱なエンドポイントへのリクエストについてログを精査することが推奨されます。 ### 影響を受けるリリース このセキュリティ問題は、主に**Australia**プラットフォームリリースを実行している顧客、または特定の構成変更を実装していた古いリリースを使用している顧客に影響します。 ### 管理者への推奨事項 **ServiceNow**は、管理者が`/api/now/related_list_edit`へのリクエスト、特に`51.159.98.241`からのリクエストについてログを確認することを推奨しています。影響を受けた組織は、以下も行うべきです。 * 公開されたチケットと記録をレビューし、機密情報がないか確認する。 * サポートワークフローを通じて共有された可能性のある認証情報またはトークンをローテーションする。 * 将来の検出能力を強化するために、APIロギングが有効になっていることを確認する。 **ServiceNow**は、この問題に対して**CVE**が公開されるかどうかを現在評価中です。