より多くのユーザーがVercelの脆弱性の影響範囲に入る

2026年4月のVercelセキュリティインシデントは、当初の発表を超えて拡大し続けている。Vercelが「限定的な顧客サブセット」と表現したこのインシデントは、今やより広範な開発者コミュニティ、特にAIエージェントワークフローを構築する開発者たちにまで影響が及んでいる。 

Vercelが4月19日に発表した最新のセキュリティ速報は、継続中の調査に伴い随時更新されており、第三者のAPI キー、LLMプロバイダーの認証情報、ツールコールのセットに依存している開発者は、こうした攻撃に対してより脆弱であると主張している。

侵害はどのように発生したのか？

ユーザーの憶測とは異なり、Vercelは最初の侵入口ではなかった。機密アクセス権限を持つContext.aiの従業員がLumma Stealerマルウェアに感染したことにより、Vercelは侵害された。 

この侵害は、その従業員がRobloxのAuto-farmスクリプトやゲームエクスプロイトツールをダウンロードしたことで発生した。これらはマルウェアが拡散する主な手段である。この侵害により、Google Workspaceのログイン情報や、Supabase、Datadog、Authkitなどのプラットフォームへのアクセスキーなどのユーザーデータが盗まれた。 

攻撃者は盗んだOAuthトークンを利用してVercelのGoogle Workspaceアカウントにアクセスした。VercelはContext.aiのユーザーではないが、Vercelの従業員の一人がVercelエンタープライズアカウントで作成したContext.aiのアカウントを持っており、最悪なことに「すべてを許可」する権限を承認していた。 

さらに悪いことに、VercelはGoogle Workspace環境内でこれらの広範な権限を有効にしており、アクセスをより容易にしていた。 

侵入後、攻撃者はシステムに保存された非機密の環境変数を復号化しようとした。しかし、Vercelはそれらの環境変数をアクセスできない方法で保存しているため、攻撃者は機密データへのアクセスには失敗した。 

AIエージェント開発者にとって何を意味するのか？

開発者にとっての懸念は、盗まれた記録よりも影響範囲にある。ほとんどの開発者は、平文の環境変数に認証情報が組み込まれたワークフローがこの侵害にさらされる可能性を心配している。これは、Vercel上のほとんどの開発者がデプロイ環境に重要なアクセスキーを保存しているためだ。 

さらに、AIを活用したプロジェクトには、OpenAIやAnthropicのAPI キー、ベクターデータベースの接続文字列、Webhookシークレット、第三者ツールのトークンが同時に含まれる場合があり、これらは開発者が手動で設定しない限りシステムから機密として識別されない。 

このインシデントへの対応として、Vercelは製品を更新し、新たに作成されるすべての環境変数はデフォルトで機密としてマークされ、開発者のみが非機密に変更できるようにした。この改善は正しい一歩ではあるが、変更前に盗まれた変数の埋め合わせにはならない。

攻撃の影響はどこまで及ぶのか？

Vercelによると、この攻撃はVercel自身のシステムだけでなく、テック業界全体にわたる複数の組織の数百人のユーザーに影響を与える可能性がある。これは、攻撃に使用されたOAuthアプリがVercelだけに限定されていなかったためだ。 

攻撃の影響を軽減するため、Vercelのセキュリティチームは侵害されたOAuthアプリの固有識別子を公開し、Google Workspaceの管理者およびGoogleアカウント保有者に対して、そのアプリが自社システムへのアクセス権を持っていないか確認するよう呼びかけている。 

また、Context.aiはNudge SecurityのCTO Jaime Blascoの協力のもと、Google Driveへのアクセスを含む別のOAuth権限付与も検出した。さらなる影響を防ぐため、Context.aiはすぐに影響を受けたすべての顧客に通知し、今後の侵害を防ぐために必要な手順を提供した。

最も賢いクリプトの頭脳たちがすでに私たちのニュースレターを読んでいる。参加しませんか？ぜひご参加ください。