はじめに
セキュリティ研究者により、ServiceNowのVirtual Agent APIおよびNow Assist AI Agentsアプリケーションに存在する極めて重大な脆弱性「CVE-2025-12420」が公表されました。この脆弱性は「BodySnatcher」と命名され、認証されていない攻撃者がメールアドレスのみでServiceNowのあらゆるユーザーになりすまし、多要素認証(MFA)やシングルサインオン(SSO)を迂回して特権的なAIワークフローを実行し、バックドア管理者アカウントを作成できることが判明しています。
「BodySnatcher」脆弱性の詳細
この脆弱性は、ServiceNowのAIエージェントインフラストラクチャにおける2つの安全ではない設定ミスが連鎖することで成立します。
- 第一に、AI Agentチャネルプロバイダーに、すべてのServiceNowインスタンスで同一の静的クライアントシークレットが出荷時に設定されており、これにより普遍的な認証バイパスが提供されていました。
- 第二に、アカウント連携のための自動リンクメカニズムがMFAを強制せず、メールアドレスのみを要求していたため、この共有トークンを持つ攻撃者が正規のユーザーになりすまし、その権限でAIエージェントを実行することが可能でした。
脆弱性概要
- CVE識別子: CVE-2025-12420
- 脆弱性タイプ: 認証の不備&エージェントハイジャック
- 深刻度: クリティカル
- 攻撃ベクター: ネットワーク、未認証
- 影響を受けるプラットフォーム: ServiceNowオンプレミス(クラウドユーザーは影響なし)
影響を受けるバージョンと修正パッチ
以下のバージョンが影響を受け、修正パッチが提供されています。
- Now Assist AI Agents (sn_aia):
- 影響を受けるバージョン: 5.0.24 – 5.1.17, 5.2.0 – 5.2.18
- 修正済みバージョン: 5.1.18, 5.2.19
- Virtual Agent API (sn_va_as_service):
- 影響を受けるバージョン: ≤ 3.15.1, 4.0.0 – 4.0.3
- 修正済みバージョン: 3.15.2, 4.0.4
技術的な攻撃チェーンの解説
BodySnatcher攻撃は、ServiceNowのVirtual Agent APIと内部トピック「AIA-Agent Invoker AutoChat」間の相互作用を悪用します。攻撃にはターゲットのメールアドレスが必要で、AI Agentプロバイダーに同梱されているハードコードされた共有資格情報が利用されます。
攻撃は以下の2つの段階で展開されます。
- 攻撃者は、まず
/api/sn_va_as_service/bot/integrationエンドポイントに、共有トークン「servicenowexternalagent」とターゲットのメールアドレスを含む初期HTTP POSTリクエストを送信します。これにより、自動リンクメカニズムが外部リクエストを正規のServiceNowユーザーアカウントに関連付けます。 - 次に、攻撃者はAIエージェントが確認を要求するまで8〜10秒待ち、その後、ユーザー作成やロール割り当てなどの悪意のあるアクションを承認するための後続のペイロードを送信します。
実証実験では、攻撃者が新しいユーザーアカウントの作成、管理者権限の割り当て、標準の「パスワードを忘れた場合」のワークフローを介したパスワードのリセットに成功し、正当な資格情報やSSOコントロールをバイパスすることなく、プラットフォームへの完全なアクセス権を獲得しています。
推奨される対策
ServiceNowは、この特定の脆弱性に対処するため、デフォルトのインストールからRecord Management AI Agentを削除しましたが、誤設定された組織固有のカスタムAIエージェントは依然としてリスクに晒される可能性があります。
ServiceNowのオンプレミス展開を使用している顧客は、直ちにパッチが適用されたバージョンにアップグレードする必要があります。さらに、以下の追加的なセキュリティ対策を講じることが強く推奨されます。
- Virtual Agentプロバイダーのアカウントリンクに、ソフトウェアベースの認証器を使用したMFAを強制する。
- AI Control Towerを通じて、AIエージェントの展開に対する必須の承認ワークフローを確立する。
- 四半期ごとに監査を実施し、悪用のベクトルとなり得る休眠状態または未使用のAIエージェントを特定して無効化する。