Vercelが最近発表したセキュリティ速報によると、クラウドプラットフォーム企業のVercelは、その内部インフラストラクチャへの無許可アクセスを伴うデータ侵害を受けました。
2026年4月20日に更新されたこのインシデントは、サードパーティのサプライチェーン脆弱性に関連する増加するリスク、および環境変数のセキュリティ保護の重要性を強調しています。
サイバー攻撃の出所
Vercelのセキュリティチームは、侵害の出所を、会社の従業員が使用していたサードパーティの人工知能ツールであるContext.aiまで辿りました。脅威アクターは、AIツールのGoogle Workspace OAuthアプリケーションの侵害に成功しました。
この初期アクセスにより、攻撃者はVercel従業員のGoogle Workspaceアカウントを乗っ取り、企業ネットワークに侵入することができました。
内部に侵入すると、攻撃者は高い運用速度で行動し、Vercelの内部アーキテクチャに対する深い理解を示しました。彼らは特定のVercel環境に正常にアクセスし、「機密」として明示的にマークされていない環境変数を読み取りました。
Vercelは、このサプライチェーン攻撃の全容を特定するために、Mandiantのインシデント対応専門家、法執行機関、およびContext.aiと協力していることを確認しました。
同社は、限定的なカスタマーのサブセットが侵入中に認証情報が侵害されたことを報告しました。Vercelは既に影響を受けたこれらのユーザーに連絡し、認証情報の即時ローテーションを義務付けています。
勧告によると、直接的な連絡を受け取っていない顧客は、現在のところ個人データまたは認証情報が公開されたと考えられていません。
重要なことに、Vercelは、システム内で「機密」として適切にタグ付けされた環境変数は、読み取りを防ぐ方法を使用して保存されていることに注目しました。調査員は現在、これらの保護された値が脅威アクターによってアクセスまたは窃取されたという証拠を持っていません。
侵害にもかかわらず、すべてのVercelサービスは完全に動作しており、広範な監視措置が配置されています。
Vercelが内部システムのセキュリティを継続する一方で、同社は、すべてのユーザーがアカウントを保護するためのいくつかのセキュリティ対策を実装することを強く促しています。顧客は以下のアクションを直ちに実施する必要があります:
- ユーザーダッシュボードまたはコマンドラインインターフェイスのアクティビティログを確認して、疑わしい、または不正なアクションを検出します。
- APIキー、データベース認証情報、またはアクセストークンなどのシークレットを含む公開されている環境変数が機密としてマークされていない場合、直ちにローテーションします。
- 今後、すべてのシークレット値に対して機密環境変数機能を有効にして、不正アクセスから確実に保護されるようにします。
- 最近のデプロイメントで予期しない変更がないか監査し、疑わしいデプロイメントを直ちに削除します。
- Deployment Protectionの設定が最低限「Standard」に設定されていることを確認し、関連するすべてのデプロイメントトークンをローテーションします。
侵害の指標
初期ベクトルがサードパーティのAIツールを伴うため、Vercelは、異なる組織の数百の他のユーザーがより広範なContext.aiの侵害から危険にさらされる可能性があることを警告しています。
Vercelは、Google Workspace管理者が悪意のあるアクティビティを特定するのを支援するために、以下の侵害の指標(IOC)を共有しました:
- 悪意のあるOAuthアプリID:110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
翻訳元: https://gbhackers.com/vercel-reports-data-breach/
