何が起きたのか——侵害は「3段階」で進行した
今回の侵害は、単一の脆弱性を突いたものではない。複数のSaaSを経由した、階段状のピボット型攻撃だった。
Vercelの公式発表とCEOの後続のコメント、そしてセキュリティ研究者の独立検証を突き合わせると、攻撃の流れは次のように整理できる。
| 段階 | 発生場所 | 攻撃者がやったこと |
|---|---|---|
| ① 初期侵入 | Context.ai | 第三者のAIエージェントSaaS自体が侵害される |
| ② 権限の拡張 | Google Workspace | Context.aiと連携していた従業員アカウントを乗っ取り |
| ③ 本命への到達 | Vercel内部環境 | 従業員のGoogle認証を使ってVercelへピボット。"non-sensitive"指定の環境変数を列挙し、特権を拡張 |
ポイントは、Vercel本体が直接攻撃されたわけではないことだ。
攻撃者は「Context.aiにログインする社員のGoogleアカウント」という、Vercelから見れば“外側”のコンポーネントを起点にしている。しかし、そのGoogleアカウントはVercel業務にも使われており、結果として“内側”まで届いた。
タイムラインも短い。
| 日時(PST) | 出来事 |
|---|---|
| 4月19日 11:04 AM | Vercelが最初の通知とIOC(侵害指標)を公開 |
| 4月19日 6:01 PM | 攻撃源の情報と顧客向け推奨事項を追加開示 |
| 4月20日 | CEOが攻撃起点を「Context.ai」と名指しで公表 |
24時間以内に公式の情報が三段階で更新された。インシデント対応としては早い部類だが、その速さ自体が、事態の深刻さを物語っている。
攻撃者の「深い理解」と「AIによる加速」——CEOが告げた脅威の正体
Rauch氏のコメントで、筆者が最も背筋が寒くなったのは「Vercelへの深い理解」という一節だ。
攻撃者は、Vercelの環境変数管理の仕様を熟知していた。具体的には、「sensitive」としてマークされた変数は技術的に読み取れない設計になっているのに対し、"non-sensitive"のままの変数はGUI/APIから列挙できる、というVercel特有の挙動を逆手に取った。
攻撃者は、侵入した従業員アカウントから「non-sensitiveな環境変数」を総なめにし、そこに紛れ込んでいた認証情報や接続文字列を拾い上げ、横展開した。
これは、Vercelダッシュボードの使われ方を日常的に知っていなければ書けないプレイブックだ。
AIが攻撃側の“武器”にまわった瞬間
Rauch氏は「significantly accelerated by AI」という表現を使った。具体的な手法は伏せられているが、セキュリティ業界では、次のような使われ方が実在すると報告されている。
| AIが攻撃側で使われる領域 | 効果 |
|---|---|
| コード解析 | 侵入後に奪ったリポジトリから、鍵の形・秘密情報のパターンを数秒で抽出 |
| フィッシング文作成 | 従業員ごとのSlack発言スタイルを模倣した精度の高いメッセージ生成 |
| ログの自動要約 | 侵入先で大量のログを読み込み、特権昇格の経路を自動で提案 |
| ペイロード改変 | 検出回避のためのコード変形を短時間で反復 |
今回の「24時間未満でVercel内部を把握し、環境変数をかき集めた」速度は、少なくとも一部の工程がAIで自動化されていなければ、おそらく説明がつかない。
脅威アクターとされる「ShinyHunters」は、すでにダークウェブの掲示板BreachForumsに、今回のデータを200万ドルで出品していると主張した。主張内容は従業員アカウント、NPMトークン、GitHubトークンへのアクセスを含む。
Vercelは「sensitive環境変数へのアクセス証拠はない」と明言しているが、攻撃者側の主張と食い違う部分もあるため、独立した裏取りが進行中だ。実際、セキュリティ研究者のJaime Blasco氏は、侵害に関連するChrome拡張機能のOAuth権限が、Vercel公表のIOCと同じGoogle Account IDに紐づいていることを確認している。
影響を受けたもの、受けなかったもの——Web3界隈は一斉にローテを実施
Vercelは「影響を受けたのは限られた一部の顧客」と強調した。では、どこまでが被害で、どこからが無事だったのか。整理すると以下のようになる。
| 対象 | 状態 | 補足 |
|---|---|---|
| Next.js | 影響なし | サプライチェーン監査で確認済み |
| Turbopack | 影響なし | 同上 |
| VercelのOSSプロジェクト | 影響なし | 同上 |
| 一般ユーザーのデプロイ本体 | 影響なし | コア機能は稼働を継続 |
| sensitive指定の環境変数 | 「アクセス証拠なし」 | 読み取り不可設計 |
| non-sensitiveの環境変数 | 被害あり | 列挙されアクセスされた |
| 一部顧客の認証情報 | 被害あり | 個別通知、ローテ要請済み |
とくに動きが速かったのは、Web3・暗号資産の界隈だ。
フロントエンドをVercelにホストするプロジェクトは多く、CoinDeskの報道によれば、Solana系の分散型取引所Orcaは「すべてのデプロイメント認証情報をローテーション済」と即日アナウンスした。
Orcaはあわせて「オンチェーンのプロトコルと、ユーザーが預けた資金は今回の件の影響を受けていない」と明言している。被害がオフチェーン側(ウォレット接続UIやダッシュボード)に限定されているのは不幸中の幸いだが、逆に言えば、UIを差し替えられれば資金流出に直結しかねない領域でもある。
Web3に限らず、BtoB SaaSの多くがVercel上にフロントをホストしており、どの業界も他人事ではない。
今すぐやるべき4つのこと——Vercelユーザーへの実務対応
Vercelは公式バルテンで、顧客に4つの対応を求めている。筆者もサイトをVercelに載せている一人として、順序をつけて実行に移した。
| 優先度 | やること | 所要時間の目安 |
|---|---|---|
| 1 | アカウント活動ログ(Audit Log)を遡って不審なアクセスをチェック | 30分 |
| 2 | 全環境変数の棚卸し。トークン・APIキーはローテーション | 1〜数時間 |
| 3 | 重要な変数を「sensitive」指定へ移行 | 15分 |
| 4 | Deployment Protection(プレビューへのアクセス制限)を有効化 | 10分 |
ポイントは、2番目の「棚卸し」を機械的にやらないこと。
環境変数は、かつて“とりあえず放り込む便利箱”として扱われがちだった。今回の事件は、その文化を真正面から否定している。AWSのIAM Roleや、最近流行のOIDC連携で代替できるものは、生のキーを置かないという発想へ切り替える好機だ。
加えて、Vercelはダッシュボードに環境変数の一覧ページと、sensitive指定用の新しいUIを追加している。使っていないなら、いまこそ使うタイミングだ。
教訓——「シャドーAI」が新しいサプライチェーンになる
今回のインシデントが突きつけた最大のテーマは、「シャドーAI」の扱いである。
Context.aiは、AIエージェントをエンタープライズのワークフローに埋め込むためのツールで、Slack、Gmail、Notionなどと連携する。便利だから、多くの社員が会社の許可を経ずに使い始めている。
| 従来のシャドーIT | いまのシャドーAI |
|---|---|
| 個人のDropbox | 個人契約のChatGPT Team |
| 勝手に入れたChrome拡張 | 勝手に入れたAIエージェントSaaS |
| ローカルの野良スクリプト | OAuthで本番Googleに接続されたAIツール |
シャドーAIの怖さは、「OAuthで会社の本番Googleに接続される」ことが当たり前になっている点だ。
Context.aiに限らず、ほとんどのAIエージェントは、カレンダー、メール、ファイル、場合によってはGitHubやSlackまでアクセス権を要求する。便利さと引き換えに、社員が手ずから会社のデータをAIベンダーに託す構図になっている。
そして、このAIベンダーのどこか一社が侵害されれば、そこに接続された全企業が巻き込まれる。今回のVercelは、その第一弾にすぎない。
CTOやCISO、情シスがすぐに着手すべきは、以下のような動きだろう。
- Google WorkspaceやMicrosoft 365の「OAuth連携アプリ一覧」を棚卸し
- 社員が導入しているAIツールを申告制にし、許可リストを定義
- 業務アカウントでのOAuth承認をIT管理者だけに制限
- 退職者アカウントだけでなく、休眠状態のOAuthトークンも定期的に失効
地味だが、効く。
問われているのは「便利さ」と「統制」のバランス
Rauch氏は一連の発言のなかで、責任の所在を外部に押し付けなかった。インシデント対応会社を入れ、法執行機関に通知し、ダッシュボードUIを即日改修した。
その誠実さは評価されるべきだと思う。一方で、Vercelほどの会社が、社員一人のAIツール経由で侵害される時代に入った、という事実は重い。
これは、あなたの会社でも十分に起こり得る。
社員が勝手に入れたAIエージェントが、いつの間にかあなたのGitHubやデータベースにつながっている。そのとき、あなたは攻撃者より先に、自社の“OAuth連携一覧”を見たことがあるだろうか。
今回のVercelの開示は、Web開発の土台を作ってきた一社の敗北ではなく、業界全体への警鐘である。便利さの裏側で、静かに積み上がっていたリスクが表に出ただけだ。
AIの波は開発生産性を押し上げる。同時に、攻撃者の生産性も押し上げている。この二つの線は、今後どこで交差するのか——。
そして、あなたの会社の“交差点”は、すでに燃えはじめていないか。
出典・参考
- Vercel公式発表「Vercel April 2026 security incident」:
- The Hacker News「Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials」:
- CoinDesk「Hack at Vercel sends crypto developers scrambling to lock down API keys」:
- CCleaks「Vercel Discloses April 2026 Breach of Internal Systems」:
- iTnews「Cloud deployment firm Vercel breached, advises secrets rotation」:
