アプリホスティングプラットフォームのVercelは、攻撃者が特定の内部システムへの不正アクセスを取得し、限定的な顧客アカウントと認証情報の侵害につながったセキュリティ侵害を確認しました。
2026年4月のセキュリティ速報で公開されたこのインシデントは、外部のインシデント対応専門家と法執行機関のサポートを受けながら、現在も積極的に調査中です。
攻撃者は最初にContext.aiを侵害し、その後、過度に特権化されたGoogle Workspace OAuthアプリを利用して、従業員のVercel Google Workspaceアカウントを乗っ取りました。
この足がかりを利用して、従業員のVercelアカウントにアクセスし、内部環境に侵入し、顧客プロジェクトに関連する非機密環境変数を列挙および復号化しました。
Vercelは、脅威アクターの速度とVercelの製品APIサーフェスに対する深い理解に基づいて、脅威アクターを「高度に洗練された」と説明しています。
同社は、Google Mandiant、その他のサイバーセキュリティ企業、業界の同業者、およびContext.aiと協力して、侵害の範囲を完全にマッピングしています。
当初、Vercelは、プラットフォームに保存されている非機密環境変数(つまり、平文に復号化されるもの)が攻撃者によってアクセスされた限定的な顧客サブセットを特定しました。
これらの値は、「機密」としてマークされていない場合、APIキー、トークン、データベース認証情報、および署名キーを含むことができます。影響を受けた顧客に直接連絡し、すぐにシークレットをローテーションするよう指示しました。
その後のログ分析により、2つのさらなる問題が明らかになりました。このインシデントに関連する追加のアカウントの小数と、Vercel侵害とは無関係の以前の侵害の兆候を示す顧客の小数です。これはソーシャルエンジニアリング、マルウェア、または同様の方法による可能性があります。これらの組織にも通知されています。
現在のところ、VercelおよびそのパートナーはVercelによって公開されたnpmパッケージが改ざんされたという証拠がないと報告しており、同社はそのサプライチェーンが無傷のままであると述べています。
顧客をサポートするため、Vercelは環境変数に関する強力なデフォルトとセーフガード、シークレット管理のための新しいチーム全体の可視性、およびより豊富なフィルタリングとコンテキストを備えた改善されたアクティビティログをロールアウトしています。
確認された影響範囲は現在のところ限定的な顧客サブセットをカバーしていますが、VercelとContext.aiの両方の調査は進行中であり、追加の証拠が浮かぶにつれてさらなる通知が続く可能性があります。
翻訳元: https://cyberpress.org/vercel-confirms-security-breach-after-customer-accounts-were-compromised/