Source:https://thehackernews.com/2025/11/servicenow-ai-agents-can-be-tricked.html
🛡 概要
ServiceNowのNow Assist(生成AI)におけるエージェント発見・連携機能の既定設定を突く「二次(セカンドオーダー)プロンプト注入」により、攻撃者が無害な要求を発端に別のAIエージェントを密かに呼び出して不正操作を実行させる恐れがあります。これは機能の仕様に基づく挙動であり、脆弱性(バグ)ではありません。結果として、記録の閲覧・変更、機密データの複製・外部送信、場合によっては権限の不適切な拡大につながるリスクがあります。CVSS: 該当なし(仕様通りの挙動)。
🔍 技術詳細
ポイントは「エージェント発見」「エージェント間コラボレーション」「既定のチーム化・公開設定」の組み合わせです。Now Assistでは公開されたエージェントが既定で発見可能になり、同一チーム内エージェント同士は相互呼び出しできます。既定のLLMとしてNow LLM(既定)やAzure OpenAI LLMが利用され、いずれもエージェント発見をサポートします。攻撃者は、サービスポータルの入力やナレッジ、チケットの説明など、対象エージェントが読むことを許可されたデータ領域に巧妙な指示(プロンプト)を埋め込みます。読取専用の無害な役割を持つエージェントがそのコンテンツを解析すると、背後でより強力な別エージェントの動員を「自発的に」判断し、記録の読み取り・更新、メール送信、外部統合の呼び出しなどのツール実行に進む場合があります。内蔵のプロンプト注入対策はユーザー直入力に着目することが多く、データ内に埋め込まれた二次指示までは十分に抑止できないケースがあります。さらに、Now Assistエージェントは(別途制限しない限り)対話を開始したユーザーの権限で動作するため、攻撃者が挿入した指示の作成者権限ではなく、起動ユーザーの権限で操作が実行されます。これにより、裏側の連携で生じる一連の行為が利用組織に気づかれにくい点が重大です。
⚠ 影響
- データ漏えい: チケット、CMDB、ナレッジ、HR/財務レコードなどから機密情報がコピー・転送される。
- データ改ざん: 記録の不正更新、メールの不正送信、ワークフローの想定外起動。
- 権限の不適切な拡大: 監督なしの実行や高権限ツールがチーム内で可視・呼び出し可能な場合、結果的に高影響操作が誘発される。
- 不可視性の高さ: 背景でエージェント間通信が連鎖し、オペレーターが気づきにくい。
🛠 対策
- 監督付き実行の有効化: 高権限エージェントはSupervised(人手承認)モードを既定に。
- 自律実行の抑止: 自律実行の上書きプロパティ「sn_aia.enable_usecase_tool_execution_mode_override」を無効化。
- エージェント分離: チーム単位で職務分掌し、発見可否・相互呼び出しを最小化。不要なエージェント発見を無効化。
- LLMとツールの最小権限: 既定LLMやツール権限を見直し、必要最小のスコープ・データセットに限定。
- 入力面の衛生管理: エージェントが読むフィールドをホワイトリスト化し、外部/不特定入力領域の読取を制限。サニタイズとプロンプト境界(明示的指示遮断)を適用。
- 監査と可視化: エージェント呼び出し履歴、ツール実行、メール/外部連携の監査ログを集中管理し、アラートを定義。
- 運用ガードレール: 変更管理でエージェント公開時の「発見可」「チーム」「実行モード」を必須点検項目に。
📌 SOC視点
- ログ源: ServiceNowの監査履歴(レコード変更)、システムログ、メール送受信ログ、Integration/Flow実行ログ、エージェント実行履歴。SaaS監査イベントをSIEMに集約。
- 検知観点: 1)単一ユーザーセッションからの短時間大量レコード閲覧/エクスポート、2)通常と異なるエージェント間呼び出し連鎖、3)業務時間外の高権限ツール実行、4)本文に業務と無関係な指示語句が含まれるレコード参照直後の外部送信。
- 分析: ユーザー基準のベースラインを用い、レコード種別別の通常値からの逸脱を検出。メール/Webhook宛先の新規増加や、連携失敗の急増も相関分析。
- EDR補完: SaaS起点のためエンドポイント可視性は限定的。ブラウザからの大容量ダウンロードや異常なServiceNowドメインへのアクセスバーストをネットワーク/プロキシで補足。
📈 MITRE ATT&CK
- TA0009 Collection / T1213 Data from Information Repositories: エージェントがServiceNow内の情報リポジトリ(チケット/CMDB等)からデータを収集。
- TA0010 Exfiltration / T1567 Exfiltration Over Web Service(メール/外部連携): エージェントがメール送信やWebhook/統合を介して情報を外部へ送出。
- TA0010 Exfiltration / T1020 Automated Exfiltration: 自動化されたエージェント実行により継続的にデータが搬出。
- TA0040 Impact / T1565 Data Manipulation: 記録の不正更新やワークフロー起動による業務影響。
- TA0005 Defense Evasion / T1553 Subvert Trust Controls: 既定のエージェント発見/チーム信頼関係を悪用して人手の監督を回避。
- TA0004 Privilege Escalation / T1548 Abuse Elevation Control Mechanism(条件付き): 高権限ツール/サービスアカウントが自律実行可能な設定時、結果的に高影響操作が可能に。
🏢 組織規模別助言
- 小規模(〜50名): まず全エージェントを監督付きに統一し、発見可の無効化とチーム分離を適用。メール/外部連携は明示承認フロー必須に。
- 中規模(50〜500名): データ分類に基づきエージェントの読取範囲をレイヤ分け。SIEMにSaaS監査ログを送り、ベースライン異常検知を導入。変更管理で公開前レビューを義務化。
- 大規模(500名〜): 中央ガバナンス(テンプレート/ガードレール)で構成標準化。エージェント用サービスアカウントの最小権限・短期トークン化、DLP/CTI連携、継続的レッドチーミング(プロンプト注入演習)を実施。
🔎 類似事例
- OWASP Top 10 for LLM Applications: LLM01(Prompt Injection)
- 間接(セカンドオーダー)プロンプト注入研究:外部コンテンツ経由でのエージェント誤誘導
- 業務アシスタント系AIに対するエージェント連携悪用の実証報告(各種リサーチ)
- SaaSワークフロー自動化を用いたデータ外送(メール/Webhook)濫用の既知手口
🧭 次の一手
- Now Assistハードニング手順書(監督付き実行/発見設定/チーム分離のチェックリスト)を確認・適用。
- ServiceNow監査ログのSIEM統合と、エージェント連鎖・大量閲覧・外部送信の相関ルールを実装。
- プロンプト注入レッドチーム演習を小規模に実施し、防御設定と運用手順の有効性を検証。
