米企業向けクラウド大手サービスナウは、外部からの不正アクセスにより顧客データが参照可能となるセキュリティ事案が発生したと公表した。認証を必要としないAPI(外部連携用の接続口)の欠陥が悪用され、顧客企業の業務データが照会された可能性がある。
認証不要のAPIが悪用される
サービスナウは、IT運用や人事、業務ワークフローを管理する企業向けプラットフォームを世界中の大企業に提供している。今回問題となったのは、認証なしでの利用を許す設定になっていたREST APIの特定のエンドポイントである。攻撃者はこの欠陥を突き、本来は認証が必要な顧客インスタンスのデータテーブルに対して照会を実行できた。
検知から修正まで
同社によると、不正な活動が確認されたのは6月2日から3日にかけてで、異常を検知した後、6月5日に当該APIを認証済み利用者のみに制限する修正を適用した。影響を受けたのは特定のプラットフォーム版を利用する顧客や、古い版で特定の設定変更を行っていた顧客が中心だったとされる。照会の対象となりうるデータには、ITサポート案件、従業員記録、社内文書、資産台帳、ワークフロー情報などが含まれる。
注目すべきは、サービスナウが今回の活動について「悪意ある攻撃者ではなく、バグ報奨金制度に関連したセキュリティ研究者や顧客主導の調査によるものとみられる」との見解を示した点である。一方で同社は、4月22日に類似の問題を指摘する報告を機密のバグ報奨金経由で受け取っていながら、修正の適用が6月5日まで遅れたことも明らかにしており、対応の遅れには批判の余地が残る。
日本への影響
サービスナウは日本でも金融機関や製造業、官公庁を含む数多くの大企業に導入されており、今回の事案は対岸の火事では済まない。利用企業の情報システム部門は、自社が影響を受けた版や設定に該当しないかを早急に確認し、ログの点検やアクセス権の見直しを進める必要がある。クラウド基盤を外部ベンダーに委ねる以上、提供側の脆弱性が自社のリスクに直結する構図を改めて突きつけられた格好だ。
より広く見れば、APIの設定不備という比較的単純な原因が大規模なデータ照会を許した事実は、日本企業のクラウド利用全般への警鐘となる。個人情報保護法のもとで漏洩時の報告義務を負う日本企業にとって、委託先の管理体制を契約段階から精査する重要性が一段と増している。利用者個人としても、勤務先や取引先のシステムが影響を受けていないか関心を持つ姿勢が求められます。
まとめ:今回の事案は便利なクラウドの裏に潜む設定リスクを浮き彫りにしており、利用企業も個人も「任せきりにしない」備えを意識しておきたいですよね。
出典:
BleepingComputer – ServiceNow discloses security incident
HackRead – ServiceNow Security Incident
Rescana – ServiceNow API Security Incident Analysis
Photo: Franck V. / Unsplash
