ServiceNow管理者向け緊急警告:アクセス制御リスト(ACL)を今すぐ見直せ
重大な脆弱性の概要
- 2025年7月、ServiceNowのアクセス制御リスト(ACL)管理の不備により、低権限ユーザーや一部認証ユーザーでも機密データにアクセスできる脆弱性(CVE-2025-3648)が発覚。
- セキュリティ企業Varonisが発見し、1年以上前にServiceNowへ報告。2025年5月にパッチとセキュリティアップデートが配布済み。
- 「Count(er) Strike」と呼ばれるこの脆弱性は、最小限の権限しか持たないユーザーや自己登録ユーザーでも、ACL設定次第でデータを列挙・取得できる点が特徴。
脆弱性の仕組み
- ServiceNowのデータはすべて「テーブル」として管理され、ACLルールでアクセス制御。
- ACLには4つの条件(Required Roles/Security Attribute/Data Condition/Script Condition)があり、最初の2つで拒否された場合は完全にアクセス不可。
- しかしData ConditionやScript Conditionで拒否された場合、「レコード件数」だけは返されるため、攻撃者はクエリを工夫してデータの存在や詳細を推測・列挙できる。
- 自動化スクリプトを使えば、HTMLソースから実データを抜き出すことも可能。
影響範囲とリスク
- 自己登録機能が有効な場合、攻撃者は簡単にアカウントを作成し、脆弱なテーブルにアクセス可能。
- Fortune 500企業の一部でも、匿名登録や過度に広い権限設定が確認された。
- 特にRequired RolesやSecurity Attribute Conditionが空または緩いテーブルは完全に攻撃対象。
ServiceNowの対策と新機能
- パッチ適用後は「デフォルト拒否」ポリシーに変更され、非特権ユーザーのアクセス権が厳格化。
- **新たなACLメカニズム「Deny else」や「Query ACL」**が導入され、クエリ制限や列挙対策が強化。
- セキュリティデータフィルターでロールや属性ごとのアクセス制限も可能に。
管理者が今すぐ取るべきアクション
- 全テーブル・フィールドのACL設定を再点検
- 特にRequired Roles/Security Attribute Conditionが空・広すぎないか確認。
- 新しい「Query ACL」や「Deny else」機能を有効活用
- クエリ演算子や列挙の制限を強化。
- 自己登録や匿名アクセスの設定を見直し
- 不要な場合は無効化し、外部ユーザーの権限を最小限に。
- 権限変更や異常なクエリパターンの監視・監査を強化
- 低権限ユーザーによる不審なアクセスや権限変更を常時監視。
- 「最小権限の原則」を徹底
- 必要最小限のロール・属性のみ割り当てる。
まとめ・教訓
- ServiceNowのような大規模SaaSでも、設定ミスや盲点が大規模な情報漏洩リスクとなる。
- 「設定したら終わり」ではなく、継続的な見直し・監査・運用が不可欠。
- 規制業種(金融・医療・公共)ほど、ACLの厳格管理と新機能の積極活用が求められる。
今すぐACLを点検し、脆弱性を突かれない体制を整えましょう。