tradingkey.logo
tradingkey.logo
検索

Vercelエクスプロイトの影響範囲にさらに多くのユーザーが入る

CryptopolitanApr 23, 2026 8:30 PM
facebooktwitterlinkedin
すべてのコメントを見る0

2026年4月に発生したVercelのセキュリティdent 当初の主張を超えて拡大を続けている。Vercelが「限られた顧客層」と表現したこのdent、現在ではより広範な開発者コミュニティ、特にAIエージェントのワークフローを構築している開発者コミュニティにまで及んでいる。. 

発表した最新のセキュリティ速報(継続的な調査を受けて随時更新されている)の中で、サードパーティのAPIキー、LLMプロバイダーの認証情報、ツール呼び出しのパックに依存する開発者は、このような攻撃に対してより脆弱であると主張してdent

情報漏洩はどのようにして発生したのか?

ユーザーの憶測とは異なり、Vercelは最初の侵入地点ではありませんでした。Context.aiの従業員が機密性の高いアクセス権限を持っていた際に、 Lumma Stealerマルウェアに感染し、

この情報漏洩は、従業員がRobloxの自動ファームスクリプトとゲームエクスプロイトツールをダウンロードした際に発生しました。これらはマルウェアが拡散する。この情報漏洩により、Google Workspaceのログイン情報や、Supabase、Datadog、Authkitなどのプラットフォームへのアクセスキーを含むユーザーデータが盗まれました。

攻撃者は盗んだOAuthトークンを利用して、VercelのGoogle Workspaceアカウントにアクセスした。VercelはContext.aiのユーザーではないが、同社の従業員がContext.aiのアカウントを保有しており、そのアカウントはVercelの企業アカウントを使用して作成され、さらに悪いことに「すべて許可」の権限が付与されていた。. 

さらに悪いことに、VercelはGoogle Workspace環境内でこれらの広範な権限を有効にしており、アクセスが容易になっていた。. 

侵入後、攻撃者はシステムに保存されている機密性の低い環境変数を復号化しました。しかし、Vercelはこれらの環境変数をアクセスできないように保存しているため、攻撃者は機密データにアクセスすることは

これはAIエージェント開発者にとって何を意味するのでしょうか?

開発者にとっての懸念は、盗まれたと記録された内容そのものよりも、被害範囲の大きさにある。多くの開発者は、環境変数にdent情報が格納されているワークフローが、今回の情報漏洩の影響を受けるのではないかと危惧している。これは、Vercelを利用する開発者の多くが、重要なアクセスキーをデプロイ環境に保存しているためだ。. 

さらに、 AIを活用したプロジェクトには、OpenAIまたはAnthropicのAPIキー、ベクトルデータベースの接続文字列、Webhookシークレット、サードパーティツールのトークンが同時に含まれる可能性がありますが、これらは開発者が手動で設定する必要があるため、システムによって機密情報としてフラグ付けされません。

このdent、Vercelは製品をアップデートし、新しく作成された環境変数はすべてデフォルトで機密情報としてマークされ、開発者のみが機密情報を解除できるようにしました。この開発は正しい一歩ではありますが、変更前に盗まれた変数

攻撃はどこまで及ぶのか?

Vercelによると、今回の攻撃は自社のシステムだけでなく、複数の組織にまたがる数百人のユーザーに影響を与える可能性があり、テクノロジー業界全体に及ぶという。これは、攻撃に使用されたOAuthアプリがVercel社だけのものではなかったためだ。. 

攻撃の影響を軽減するため、Vercelのセキュリティチームは、侵害されたOAuthアプリの固有dentを共有し、Google Workspaceの管理者とGoogleアカウント所有者に対し、そのアプリが自身のシステムにアクセスしていたかどうかを確認するよう促した。. 

さらに、Context.aiはNudge SecurityのCTOであるJaime Blasco氏の協力を得て、Googleドライブへのアクセス権限を含む別のOAuth権限付与も検出しました。さらなる影響を防ぐため、Context.aiは影響を受けたすべての顧客に直ちに警告を発し、さらなる侵害を防ぐために必要な手順を提供しました。.

最も賢い暗号通貨マインドを持つ人々はすでに私たちのニュースレターを読んでいます。参加してみませんか?ぜひご参加ください。

免責事項:本サイトで提供する情報は教育・情報提供を目的としたものであり、金融・投資アドバイスとして解釈されるべきではありません。

コメント (0)

$ボタンをクリックし、シンボルを入力して、株式、ETF、またはその他のティッカーシンボルをリンクします。

0/500
コメントガイドライン
読み込み中...

おすすめ記事

tradingkey.logo
* 当コンテンツ(分析資料・取引戦略等)は第三者プロバイダーであるTrading Centralより提供されており、記載の見解は分析官の独立した評価及び判断に基づくものです。投資家個々の投資目的や財務状況は考慮されておりません。
リスク告知:当社ウェブサイト及びモバイルアプリは特定の投資商品に関する一般的な情報のみを提供しており、Finsightsは金融アドバイスや投資商品の推奨を行うものではありません。本情報の提供をもってFinsightsが投資助言を行っていると解釈されることはありません。
投資商品には元本割れを含む重大なリスクが伴い、全ての投資家に適するものではありません。なお、過去の運用実績は将来の成果を保証するものではありません。
Finsightsは、第三者広告主または提携先が当社ウェブサイト・モバイルアプリ上に広告を掲載することを許可する場合があり、これら広告主から広告への反応に基づく報酬を受けることがあります。
© 著作権: FINSIGHTS MEDIA PTE. LTD. 無断複写・転載を禁じます。