開発者向けクラウドプラットフォームのVercelがハッキングされる、「サードパーティー製AIツール」が攻撃の経路か

フロントエンド開発者向けのクラウドプラットフォーム「Vercel」で不正アクセスを伴うセキュリティインシデントが2026年4月に発生し、一部の顧客に影響が及んだことが明らかになりました。Vercelは侵入経路について、サードパーティー製AIツールの侵害されたGoogle Workspace OAuthアプリに起因するものだと説明しています。

Vercel April 2026 security incident | Vercel Knowledge Base
https://vercel.com/kb/bulletin/vercel-april-2026-security-incident

Vercelは内部システムの一部に対して認可されていないアクセスが確認されたため、調査と封じ込めのためにインシデント対応の専門家を起用し、法執行機関にも通報したとしています。

IT系ニュースサイトのThe Vergeによれば、クラッカー集団「ShinyHunters」のメンバーを名乗る人物がオンライン上に一部データを投稿しており、その中には従業員の氏名、メールアドレス、活動時刻のタイムスタンプなどが含まれていたとのこと。

一方でVercelは、サービス自体は継続して稼働しており、現時点で影響を受けたのは限定された顧客層で、対象顧客には個別に連絡を取っているとしています。

Vercelは侵害の原因について、「小規模なサードパーティー製AIツールのGoogle Workspace OAuthアプリが、複数組織の数百人規模の利用者に影響し得る広範な侵害の対象になっていた」と説明しています。

Vercelは利用者向けの対応策として、アカウントや環境のアクティビティログを確認し、不審な操作がないか調べるよう呼びかけています。加えて、APIキーやトークン、データベース認証情報、署名鍵などの秘密情報を含む環境変数のうち、「sensitive」として設定されていなかったものは漏えいした可能性があるものとして優先的に変更するよう推奨しており、今後は機密の環境変数を読み出せない形で保護する機能の活用も勧めています。

さらに同社は、最近のデプロイ履歴に不審なものがないか確認し、必要に応じて削除したり、Deployment Protectionを少なくとも「Standard」に設定したり、関連トークンをローテーションしたりすることも求めています。

あわせて、Google Workspace管理者やGoogleアカウント所有者に対しては、問題のOAuthアプリが使われていないか即座に確認するよう促しており、調査支援のためにIOCとして「110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com」というOAuth Appの識別子も公開しています。