Vercel、AIツール経由で不正アクセス被害

Webアプリのホスティング・デプロイ基盤として広く使われるVercelが、第三者のAIツールを経由した不正アクセスを受けたことを公表しました。ハッカー集団ShinyHuntersのメンバーを名乗る人物が、従業員の氏名やメールアドレス、アクティビティのタイムスタンプなどのデータをオンラインに公開し、販売を試みています。Vercelは影響を受けた顧客は「限定的」としています。

今回の攻撃経路は、Vercelが利用していた第三者AIツールのGoogle Workspace OAuthアプリでした。Vercelの調査によると、このOAuthアプリ自体がより大規模な侵害の対象となっており、多数の組織にまたがる数百人規模のユーザーに影響を及ぼしている可能性があります。どのAIツールが侵害されたかは明らかにされていません。

Vercelは管理者に対し、アクティビティログの確認と環境変数のローテーションを推奨しています。APIキーやトークンなどの機密情報が漏洩した可能性があるため、追加の予防措置として速やかな対応が求められます。

さらにVercelは、侵害に関連するIoC（侵害の痕跡）情報を公開し、Google Workspaceの管理者やアカウント所有者に対して、当該アプリの使用状況を即座に確認するよう呼びかけました。サプライチェーン攻撃の一環として、AIツールが新たな攻撃ベクトルになりうることを示す事例です。

ShinyHuntersは直近のRockstar Gamesへのハッキングでも知られるグループです。AIツールのOAuth連携という、多くの企業が日常的に利用する仕組みが悪用された点は、セキュリティ対策の見直しを迫るものといえます。