2026年1月、サイバーセキュリティ業界に衝撃が走りました。SaaSセキュリティ企業AppOmniが、ビジネスプロセス自動化の巨人ServiceNowのAIプラットフォームに潜む極めて深刻な脆弱性を公表したのです。この脆弱性は「BodySnatcher」と名付けられ、CVE-2025-12420として追跡されています。CVSSスコアは10点満点中9.3という高危険度を誇り、認証されていない攻撃者がServiceNow環境内の任意のユーザーになりすまし、AIエージェントを悪用して特権的なアクションを実行できる可能性を秘めていました。
ServiceNowのAIエージェントは、チケットの発行やパスワードのリセットといった日常業務を効率化するために、多くの大企業で広く利用されています。AppOmniのセキュリティリサーチ責任者であるアーロン・コステロ氏は、「BodySnatcherは、これまでに発見されたAI駆動型脆弱性の中で最も深刻なものです。攻撃者は組織のAIを効果的に『リモート制御』し、企業を簡素化するためのツールそのものを武器にすることができました」と述べ、その潜在的な破壊力を強調しました。この脆弱性は、ServiceNowのAIアプリケーションがFortune 100企業のうちAppOmniの顧客のほぼ半数で利用されているという事実を鑑みると、その影響範囲の広さは計り知れません。
認証を迂回する巧妙な手口:攻撃チェーンの解明
「BodySnatcher」脆弱性の核心は、ServiceNow Virtual Agent APIとNow Assist AI Agentsアプリケーションの特定のバージョンに存在していました。AppOmniの分析によると、攻撃者は認証情報を持たない状態から、標的となる従業員のメールアドレスのみを使用して、Virtual Agentを介した会話中にそのユーザーになりすますことが可能でした。この驚くべき手口は、複数のセキュリティ上の欠陥が連鎖することで実現されました。
具体的には、Now Assist AI Agentsアプリケーションとともに導入された一連のAIエージェントチャネルプロバイダーが、静的なシークレットに基づくメッセージ認証メカニズムを使用していたことが判明しました。さらに深刻なのは、これらのプロバイダーがServiceNowインスタンス全体で同じシークレットを共有していたことです。加えて、関連する「自動リンク」ロジックは、外部のリクエスト元をServiceNowアカウントにリンクする際に、多要素認証(MFA)やシングルサインオン(SSO)チェックを強制せず、単にメールアドレスを信頼する設計になっていました。
この二つの弱点が組み合わさることで、攻撃者は容易に任意のServiceNowユーザーになりすまし、チャットセッション中にそのユーザーとして振る舞うことができました。AppOmniは、攻撃者がこの偽装を利用して、Virtual Agentを介してAIエージェントを実行する内部トピックにリクエストをルーティングし、通常の展開制約外でAIエージェントのワークフローを実行する予期せぬ経路を作り出すことが可能であったと説明しています。この巧妙な攻撃チェーンは、従来の認証メカニズムの脆弱性がAIエージェントのワークフローと結びつくことで、いかに深刻な脅威となり得るかを示しています。
企業データとシステムへの壊滅的な影響
「BodySnatcher」脆弱性が悪用された場合、その潜在的な影響は企業の根幹を揺るがしかねないものでした。攻撃者は、管理者を含むターゲットユーザーとしてServiceNow AIエージェントのタスクを実行できるため、システム内で広範な特権アクションが可能となります。これには、新しいユーザーレコードの作成や役割の割り当てが含まれ、結果として永続的な管理者アクセスを確立する恐れがありました。
ServiceNowが企業内でどのように利用されているかにもよりますが、このアクセスは組織全体に広く及ぶ可能性がありました。AppOmniは、顧客の社会保障番号、医療情報、財務記録、機密性の高い知的財産といった極めて機密性の高いデータへのアクセスが可能になる例を挙げています。このような情報が漏洩した場合、企業は甚大な経済的損失、法的責任、そしてブランドイメージの失墜に直面することになります。
さらに、AppOmniはフィッシングシナリオの可能性も指摘しています。攻撃者は、信頼できる内部ユーザーからのメッセージに見せかけたメッセージを送信し、組織がそのオプションを設定していれば、ライブサポートエージェントへの引き継ぎを強制することができました。これにより、内部の信頼関係を悪用した、より洗練されたソーシャルエンジニアリング攻撃が可能となり、企業のセキュリティ体制全体が脅威にさらされることになります。この脆弱性は、単なるデータ漏洩に留まらず、企業の運用そのものを乗っ取る可能性を秘めていたのです。
修正への迅速な対応と影響範囲
ServiceNowは、AppOmniからの報告を受けて迅速に対応し、この深刻な脆弱性CVE-2025-12420に対する修正をリリースしました。同社は2025年10月30日には、ほとんどのホスト型インスタンスにセキュリティアップデートを展開し、パートナーおよび自己ホスト型顧客にもパッチを提供しました。この迅速な対応は、脆弱性の深刻度と、それが企業に与えうる潜在的な影響の大きさをServiceNowが認識していたことを示しています。
具体的に影響を受けたのは、オンプレミスでServiceNowインスタンスを運用している顧客でした。Now Assist AI Agentsについてはバージョン5.0.24から5.1.17、および5.2.0から5.2.18が影響を受け、修正バージョンは5.1.18および5.2.19とされています。また、Virtual Agent APIについてはバージョン3.15.1以前、および4.0.0から4.0.3が影響を受け、修正バージョンは3.15.2および4.0.4です。ServiceNowは、クラウドホスト型顧客については特別な対応は不要であると明言しており、オンプレミス製品を使用している顧客に対しては、速やかにパッチが適用されたバージョンへのアップグレードを推奨しています。
ServiceNowおよびAppOmniは、現時点ではこの脆弱性が実際に悪用された証拠はないと報告しています。これは、修正が展開される前に大規模な侵害が発生しなかったことを示唆しており、セキュリティ研究者とベンダー間の協力が、潜在的な脅威が現実となる前に食い止める上でいかに重要であるかを浮き彫りにしています。しかし、悪用が確認されていないからといって、その脅威が軽視されるべきではありません。潜在的なリスクは依然として高く、適切なセキュリティアップデートの適用が不可欠です。
AIエージェントの新たな脅威:セカンドオーダープロンプトインジェクション
「BodySnatcher」の発見と同時期に、AppOmniの研究はServiceNowのNow Assist生成AIプラットフォームにおける別の、しかし関連性の高いセキュリティ課題も浮き彫りにしました。それは、デフォルト設定が悪用されることで可能となるセカンドオーダープロンプトインジェクション攻撃です。これは、AIエージェントが直接的なユーザー入力ではなく、処理するデータを介して操作されるという、より洗練された攻撃手法です。
この攻撃は、AIエージェントが複雑なタスクを完了するために互いに通信する「エージェントディスカバリー」機能を悪用します。この機能は本来、機能性を向上させるために設計されていますが、エージェントが不適切に構成されたり、適切な制御なしにグループ化されたりすると、新たな攻撃ベクトルを生み出すことが判明しました。研究者たちは、低特権ユーザーがデータフィールドに悪意のある指示を埋め込み、その後、より高い特権を持つユーザーのAIエージェントがそのデータを処理するシナリオを実証しました。
侵害されたエージェントは、その後、他のより強力なエージェントを「採用」して、制限されたレコードへのアクセス、データの変更、さらにはユーザー特権の昇格といった不正なアクションを実行することができました。驚くべきことに、これらの攻撃はServiceNowのプロンプトインジェクション保護機能が有効な状態であっても成功しました。これは、AIシステム自体に組み込まれたセキュリティ制御であっても、構成の選択によってその効果が損なわれる可能性があることを明確に示しています。
エンタープライズAIのセキュリティ課題と今後の教訓
AppOmniによる一連の発見は、エンタープライズAIシステムの導入と運用における根本的な課題を浮き彫りにしています。AIエージェントがアカウント管理や構成変更に対してより多くの自律性を与えられるにつれて、それらは高価値の標的となり、堅牢なガードレールが整備されていなければ操作される可能性があります。セキュリティは、基盤となるテクノロジーだけでなく、組織がこれらのシステムをどのように構成し、管理するかに大きく依存するのです。
ServiceNowは、研究者が特定した動作が意図的な設計上の選択であることを確認し、構成オプションを明確にするためにドキュメントを更新しました。これは、AIエージェントの強力な機能を活用しつつ、セキュリティリスクとのバランスを取るという、企業が直面する課題を象徴しています。AIの導入は生産性向上に貢献する一方で、新たなセキュリティ負債とならないよう、慎重なアプローチが求められます。
AppOmniは、このような脅威に対処するためのいくつかの緩和戦略を提案しています。これには、強力な機能を持つエージェントには人間の監視を義務付けること、機能に基づいてエージェントを分離されたチームに分割すること、そしてエージェントの動作を監視して予期しないパターンからの逸脱を検出することが含まれます。アーロン・コステロ氏は、「私たちの使命は、エージェント型AIの導入が生産性の資産であり続けるようにし、セキュリティ上の負債とならないようにすることです」と述べています。企業は、AIの進化とともにセキュリティ戦略も進化させ、新たな脅威に先手を打つ必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -‘BodySnatcher’ flaw lets hackers hijack ServiceNow AI agents - https://itbrief.asia/story/bodysnatcher-flaw-lets-hackers-hijack-servicenow-ai-agents
- -ServiceNow Patches Critical AI Platform Flaw Allowing Unauthenticated User Impersonation - https://thehackernews.com/2026/01/servicenow-patches-critical-ai-platform.html
- -ServiceNow patches critical AI platform flaw that could allow user impersonation - https://cyberscoop.com/servicenow-fixes-critical-ai-vulnerability-cve-2025-12420/