メインコンテンツへスキップ
Alicia Nexus — AI×テックニュースブログ
  1. 記事一覧/

ServiceNowデータ漏洩事件|顧客データがネット公開状態に

·5 分
IT ServiceNow データ漏洩 セキュリティバグ クラウドセキュリティ 認証なしアクセス
著者
Alicia
AI・IT・ハードウェアの最新ニュースを自動配信するテックブログです。
目次
サムネイル

この記事で分かること(読了時間:約3分)

  • ServiceNowで発生した重大なデータ漏洩事件の詳細
  • バグによる認証なしアクセスの仕組み
  • セキュリティ研究者の発見経緯
  • 企業が取るべき対策のポイント

【結論】重要ポイント3選
#

1. 認証なしでのデータアクセスが可能な状態が発生
ServiceNowのソフトウェアバグにより、パスワード等の認証情報なしで顧客データにアクセスできる状況が発生

2. セキュリティ研究者によるバグ報奨金プログラムでの発見
悪意のあるハッカーではなく、正当なセキュリティ研究者がバグ報奨金プログラムの一環として発見・報告

3. 6月5日に修正パッチが適用済み
ServiceNowは該当するバグを修正し、影響を受けた顧客インスタンスにパッチを適用完了

ServiceNowデータ漏洩事件とは?基本概念の解説
#

ServiceNowは、数千の企業顧客が内部業務プロセスを自動化するために利用するクラウドコンピューティング大手企業です。企業はこのプラットフォームを使用して、ITやHRシステムなどの様々なアプリやデータベースに接続するワークフローを構築しています。

今回発生した事件は、ServiceNowのソフトウェアに存在していたバグにより、本来であれば認証が必要な顧客データに対して、認証されていないユーザーが「意図された以上のアクセス」を得ることができる状態となっていたものです。

主な技術仕様と影響範囲
#

バグの技術的詳細
#

項目内容
影響対象ServiceNowでホストされている顧客データ
アクセス方法認証情報(パスワード等)なしでのアクセス
発見方法セキュリティ研究者によるバグ報奨金プログラム
修正日6月5日にパッチ適用

対象となるデータの種類
#

ServiceNowが保存する機密性の高いデータには以下が含まれる可能性があります:

  • 顧客サポートチケット
  • パスワード、キー、認証情報
  • 従業員のオンボーディング情報
  • 技術サポート関連データ
  • チャットボットの会話履歴

事件発見の経緯と対応状況
#

セキュリティ研究者による発見
#

ServiceNowの広報担当Courtney Johnsonによると、このセキュリティインシデントはハッキングではなく、バグ報奨金プログラムで脆弱性を探していたセキュリティ研究者の活動によるものでした。

重要な確認事項:

  • 悪意のある行為者ではなく、正当なセキュリティ研究者が発見
  • 研究者の活動は「バグ報奨金の提出のみを目的」としていた
  • データの使用や保持は行われていないことが確認済み

ServiceNowの対応
#

  1. 6月5日:影響を受けた顧客インスタンスにバグ修正パッチを適用
  2. 顧客通知:ナレッジベース記事を通じて顧客に事件を通知
  3. 継続調査:セキュリティ研究者との連絡を継続し、詳細を調査中

業界への影響と企業が受ける潜在リスク
#

クラウドサービスプロバイダーが抱える課題
#

ServiceNowのような企業は、大量の機密データを保存しているため、ハッカーにとって高価値なターゲットとなりやすい特徴があります。

特に注意すべきデータ:

  • 顧客サポートチケット内の認証情報
  • 社内システムへのアクセスキー
  • 従業員の個人情報
  • 企業の内部プロセス情報

企業側の対策の限界
#

今回のバグによるデータ露出では、顧客企業側で事前に保護する方法が不明確であることが指摘されています。これは、プラットフォーム自体の脆弱性が原因であるためです。

技術的詳細と追加情報
#

影響を受けたバージョン
#

  • 公式発表:Australia releasesを実行している顧客インスタンスに関連
  • Redditユーザーの報告:他のバージョンのソフトウェアを実行するインスタンスでも外部アクセスの証拠を確認

セキュリティ指標
#

ネットワーク防御担当者は、以下のIPアドレスを潜在的なデータアクセスの指標として共有しています:

  • 監視対象IPアドレス:51.159.98.241
  • 確認方法:顧客のログでこのIPアドレスが見つかった場合、データアクセスの可能性を示唆

よくある質問(FAQ)
#

Q: どのくらいの顧客データがアクセスされましたか?
#

A: ServiceNowは影響を受けた顧客数について詳細は元記事を参照してください。具体的な数値は公表されていません。

Q: 悪意のあるハッカーによる攻撃でしたか?
#

A: いいえ。ServiceNowの確認によると、これは正当なセキュリティ研究者による発見で、バグ報奨金プログラムの一環として行われました。

Q: データは悪用されましたか?
#

A: セキュリティ研究者は「データの使用や保持は行われていない」と報告しており、ServiceNowもこれを確認しています。

Q: 現在もバグは存在しますか?
#

A: 6月5日に修正パッチが適用済みです。影響を受けた顧客インスタンスは既に修正されています。

まとめ:押さえておくべき重要ポイント
#

今回のServiceNowデータ漏洩事件から学ぶべき教訓:

  1. クラウドサービスの脆弱性リスク:大手クラウドプロバイダーでもソフトウェアバグによるデータ露出は発生する可能性がある

  2. バグ報奨金プログラムの重要性:正当なセキュリティ研究者による発見が、より深刻な被害を防いだ可能性が高い

  3. 迅速な対応の価値:ServiceNowの素早いパッチ適用と顧客通知により、被害の拡大を防止

  4. 継続的な監視の必要性:提供されたIPアドレス等の指標を活用した、自社システムのログ監視が重要

企業のデジタル化が進む中、このような事件は他社でも発生する可能性があります。定期的なセキュリティ評価と迅速な対応体制の構築が、今後ますます重要となるでしょう。

参考元: ServiceNow tells customers a bug left some of their data exposed to the internet

関連記事