2026/04/19 23:14
**Vercel 2026 年 4 月 セキュリティインシデント**
RSS: https://news.ycombinator.com/rss
要約▶
日本語翻訳:
4 月 19 日と 26 日に、「ShinyHunters」と称する脅威アクターが Vercel のシステムへの不正侵入を行いデータを売却した旨を主張したが、Vercel はプラットフォーム上で Google Workspace のサードパーティ OAuth アプリケーションが乗っ取られ、それによる非認証アクセスが発生したことを公表しました。Vercel は自社の主要サービスには影響がないとし、この特定の統合を利用している顧客のうち限られた subset だけが暴露されたとしています。なお、窃取されたとされる資料には、ソースコード、従業員情報、NPM/GitHub トークン、データベース認証情報、内部デプロイメントアクセス鍵が含まれています。攻撃者はユーザー詳細を含む 580 レコードが入ったテキストファイルを公開し、200 万ドルの身代金要求を行いました。しかし、BleepingComputer などの独立研究者は、提供されたデータの真偽やスクリーンショットを検証しておらず、「ShinyHunters」ネットワークに関連する他のグループもこの特定の事件への関与を否定しています。Vercel はセキュリティ専門家と法執行機関と協力していることを確認しており、全てのユーザー(特に Google Workspace 管理者)に対し、潜在的なリスクを低減するため、直ちに機密情報をローテーションし、環境変数を再レビューし、乗っ取られた特定の OAuth ID のアクセス権を取り消すよう緊急性を帯びた警報を出しています。
本文
4/19(水)の補足:Vercel から本件公表後に開示された追加情報を掲載しました。 クラウド開発プラットフォームである Vercel が、セキュリティ侵害が起きたことを公式に発表しました。これは、脅威アクターがシステムの侵入に成功したと主張し、盗まれたデータを売却しようと活動しているという報道を受けました。 Vercel は、JavaScript フレームワークを中心としたクラウドプラットフォームであり、ホスティングとデプロイ基盤を提供しています。同社は広く利用されている React フレームワークである Next.js の開発者として知られ、サーバーレス関数、エッジコンピューティング、CI/CD パイプラインといったサービスを提供することで、開発者がアプリケーションを構築し、プレビュー、そしてデプロイできるようにサポートしています。 今日発表されたセキュリティブリンテンでは、同社は限られた数の顧客が今回のセキュリティ侵害の影響を受けたと説明しています。「一部の内部 Vercel システムに対する不正アクセスが発生したセキュリティインシデントを特定しました」と Vercel は警告します。「調査を積極的に進めており、インシデント対応の専門家も engag ed し、調査と是正活動を支えています。法執行機関にも連絡済みで、調査が進展するにつれてこのページを更新していきます」と述べています。 同社は、自社のサービスには影響が生じなかったこと、また被害を受けた顧客とは連携中であることを確認しています。Vercel は、環境変数の見直しを求め、機密性の高い環境変数機能の利用を推奨し、必要に応じてシークレットのローテーションを行うようアドバイスしています。 このレポートを発表後、Vercel は対応を改め、侵害は第三者向け AI ツールの Google Workspace OAuth アプリケーションの乗っ取りに起因すると明かしました。どの企業がその OAuth アプリを提供しているかは不明ですが、Vercel は Google Workspace の管理者および Google アカウント所有者に対し、次のアプリケーションをチェックするよう呼びかけています: OAuthアプリ: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com もし本件の詳細やその他の未公表の攻撃に関する情報をご存知であれば、Signal(番号:646-961-3731)または電子メール(tips@bleepingcomputer.com)を通じて秘密裏にご連絡いただけますようお願い申し上げます。 ハッカーが盗まれた Vercel データの販売を声明 本件発表後、「ShinyHunters」と自称する脅威アクターがハッキングフォーラム上に投稿し、Vercel を侵入させ、企業データへのアクセス権を販売中であると宣言しました。なお、このハッカーが ShinyHunters グループの一員である可能性は否定されておらず、最近の拡張要求組織と関連付けられている脅威アクターは BleepingComputer に対し、同件に関与していないことを否认しています。 フォーラム投稿では、ハッカーが Vercel から盗み出されたとされるアクセスキー、ソースコード、データベースデータ、ならびに内部デプロイへのアクセス権や API キーの販売を宣言しています。「これは Linear から得たサンプルですが、提供しようとしているアクセスには複数の従業員アカウント(いくつかの内部デプロイにアクセス可能)、API キー(NPM トークンや GitHub トークンを含む)が含まれています」と投稿に記載されています。 さらに、Vercel 社員の情報が含まれるテキストファイルも共有されました。これには氏名、Vercel メールアドレス、アカウントステータス、アクティビティタイムスタンプを含む 580 レコードが記録されています。また、内部 Vercel エンタープライズダッシュボードのスクリーンショットも公開されていますが、BleepingComputer は当該データやスクリーンショットの真正性を独立して確認できていません。 Telegram で共有されたメッセージでは、脅威アクターは Vercel との接触があり、200 万ドルという仮想的なansom 要求について話し合った旨を主張しました。BleepingComputer は、機密データや認証情報が露出したかどうか、加えて攻撃者との交渉が進んでいるかなど、本件に関する追加質問を Vercel に行い、対応があれば本記事をアップデートする予定です。 4/19(水)午後 6:14 ET 更新:Vercel から開示されたさらに詳しい情報を反映して記事を更新しました。 Mythos が発見した事項の 99% はまだパッチ未適用です。 AI が 4 つのゼロデイを単一の悪用ケースに連鎖させ、レンダラーと OS のサンドボックスの両方を迂回する仕組みを実現しました。新たなexploit の波がやってくることに注意してください。自律検証サミット(5 月 12 日および 14 日)では、文脈を伴う自律的検証によって脆弱性を特定し、制御の有効性を証明するとともに、是正プロセスを閉じる仕組みをご覧いただけます。