TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > サービス: ServiceNow > 'Most Severe AI Vulnerability to Date' Hits ServiceNow

'Most Severe AI Vulnerability to Date' Hits ServiceNow

サービス: ServiceNow AI / 人工知能

【要点】

◎ServiceNowのチャットボット認証不備とAI機能の組み合わせにより、攻撃者が管理者権限を取得し、接続システム全体へ侵入可能な重大脆弱性が判明した。


【訳】

「史上最も深刻なAI脆弱性」がServiceNowを直撃


【要約】

ServiceNowのレガシーな仮想チャットボットにエージェント型AI「Now Assist」を追加した結果、深刻な認証上の欠陥が明らかになった。調査したAppOmni によれば、共通認証情報とメールアドレスのみでユーザーになりすまし、AIエージェントを悪用して管理者アカウントを作成できたという。これにより人事やセキュリティなど連携システムへの横展開も可能となり、研究者は「史上最も深刻なAI駆動型脆弱性」と評価した。ServiceNowは修正を実施したが、AI権限管理の重要性が強く示された。


【ニュース】

◆'Most Severe AI Vulnerability to Date' Hits ServiceNow (DARKReading, 2026/01/14)
[「史上最も深刻なAI脆弱性」がServiceNowを直撃]

The ITSM giant tacked agentic AI onto a largely unguarded legacy chatbot, exposing customers' data and connected systems.
[ITSM大手は、ほぼ無防備なレガシーチャットボットにエージェント型AIを追加した結果、顧客データと接続システムを危険に晒した]

https://www.darkreading.com/remote-workforce/ai-vulnerability-servicenow

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022