概要
ServiceNowは2026年6月9〜10日、認証バイパスを許すAPIバグにより顧客インスタンスのデータが外部から閲覧可能な状態にあったセキュリティインシデントを公表した。問題のエンドポイントは /api/now/related_list_edit(および /api/now/related_list_edit/create)で、設定上 requires_authentication=false となっており、有効な認証情報を持たない外部ユーザーでも顧客インスタンスのテーブルを参照できた。主に「Australiaプラットフォームリリース」を使用する顧客、またはそれより古いリリースで特定の設定変更を行っていた顧客が影響を受けるとされている。ServiceNowは2026年6月5日にホスト型インスタンスへのセキュリティアップデートを適用済みで、当該エンドポイントは認証必須の設定に変更された。
インシデントの経緯と発覚までの遅延
ServiceNowが最初にこの脆弱性の報告を受けたのは2026年4月22日で、バグバウンティプログラムへの機密提出という形だった。しかし実際にパッチが適用されたのは6月5日であり、報告から修正まで約6週間の空白が生じている。BleepingComputerの報道によると、悪用の疑いがある活動は6月初旬に確認されており、この期間中に攻撃者が同エンドポイントを利用して顧客データを参照した可能性がある。同社は不審なAPIアクセス元としてIPアドレス 51.159.98.241 を特定し、その後「この活動はバグバウンティに関連したセキュリティ研究者または顧客主導のリサーチに起因するものと見られる」との見解を示した。
潜在的な影響とリスク
ServiceNowのインスタンスには通常、ITサービスチケット、従業員レコード、資産インベントリ、セキュリティレポートといった組織内の機微情報が格納されている。同社はどのようなデータが実際にアクセス・取得されたかについて具体的な情報を公開していない。また、一部のRedditユーザーは「Australiaリリース以外のバージョンでも外部アクセスの痕跡が確認できた」と報告しており、影響範囲が同社の公式発表より広い可能性も指摘されている。影響を受けた顧客にはサポートケースを通じてインシデント通知が送付されており、通知を受けていない顧客は影響外とされている。
管理者向け対応策と情報開示の限界
TechRadarは影響を受けた可能性のある管理者が取るべき対応として、/api/now/related_list_edit へのリクエストをログで確認すること(特にIPアドレス 51.159.98.241 からのアクセス)、露出した可能性のあるレコードを精査すること、サポートワークフロー経由で共有されたパスワードやトークンをローテーションすること、そしてAPIロギングの有効化を確認することを推奨している。一方で同社はインシデントの詳細に関する情報開示を極めて限定的に留めており、公式ナレッジベース記事へのアクセスにはログインが必要な設計となっている。バグバウンティによる発見から修正まで約6週間を要した点、および実際にアクセスされたデータの内容が明かされない点は、影響を受けた顧客にとって依然として大きな懸念として残っている。