アメリカの企業Vercelにとって、4月は単なる内部的な問題の範囲を急速に超えた、苦渋の事件で終わりました。敵対者は同社のインフラストラクチャの一部への不正アクセスを確保し、それによって独占的な顧客データのコレクションにアクセスしました。
データ流出保護
Vercelは、Webアプリケーションの開発とホスティングに専念する最高級のクラウドプラットフォームとして機能します。このサービスはNext.jsおよび様々なJavaScriptフレームワークを利用するエンジニアリングチームの必須要素であり、プロジェクトのビルド、デプロイメント、および構成管理に必要なツール化を提供しています。Vercelの顧客層は新興企業から巨大なテック企業に至るまでであるため、あらゆるシステミックな侵害はグローバル市場全体に波及します。プラットフォームは引き続き稼働していますが、このデータ流出により、多くが秘密管理および企業認証情報の強化に関する戦略を再評価するよう強いられています。
Vercelは、侵入が限定的なユーザーのグループに影響を与えたと主張しています。侵害は、復号化を可能にする形式で保存された非機密環境変数を含みました。同社はその後、影響を受けた当事者と協力し、すべての関連する認証情報の即座な変更をするよう促しています。
Vercelによると、攻撃の起源は、会社のスタッフメンバーによって使用されている第三者AI文書作成ツールContext.aiの侵害でした。このサービスを破壊することで、攻撃者は従業員に属するGoogleワークスペースアカウントを傍受し、その後「機密」として明示的に指定されていない環境変数を収集するために企業環境に浸透しました。
同社は、「機密」とマークされた変数はプレーンテキスト読み取りを排除する形式で隔離されていることを強調しています。現在のところ、これらの値が侵害されたという兆候はありません。それでも、Vercelが流出したデータの範囲を精査する中で、調査は続いています。さらなる侵害の証拠が出現した場合、同社は顧客に直接通知することを約束しています。
法医学的分析を支援するため、Vercelはマンディアント(Mandiant)および他の専門化されたセキュリティチームと法執行機関と協力しています。同社は、その攻撃は内部インフラストラクチャをナビゲートする高度な能力を持つ高度な脅威アクターによって計画されたと述べています。
事件への対応として、Vercelはセキュリティ対策のスイートを発布しました。これらの中で最も重要なのは、APIキー、認証トークン、データベース認証情報、および署名キーを含む、「機密」とラベル付けされていないすべての環境変数の即座な変更です。決定的に、プロジェクトまたはアカウントの単なる削除は、侵害されたシークレットが運用システムへの永続的な経路を提供する可能性があるため、脅威を緩和するのに不十分です。さらに、Vercelは多要素認証(MFA)の必須実装、アクティビティログの綿密な監査、およびデプロイメント保護トークンの更新を主張しています。
同社はまた、Google WorkspaceのOAuthアプリケーションに関連する侵害の指標(IoC)を公開しました。Vercelは、このアプリケーションが、前述の第三者AI文書作成ツールの破壊を通じて開始されたより広範なサプライチェーン攻撃の一部として、様々な組織にわたる数百のユーザーに影響を与えた可能性があることを示唆しています。
スマートデバイスセキュリティ
翻訳元: https://meterpreter.org/the-ai-weak-link-how-a-third-party-breach-exposed-vercel-customer-secrets/
