Vercel侵害が拡大、顧客データ流出は4月発覚前から

Vercelの件は、従業員アカウント1件の乗っ取りでは片付かなくなった。TechCrunchによると、顧客データの流出の一部は、4月の公表済みインシデントより前にさかのぼる。タイムラインが延び、侵害経路が一つではなかった可能性が強まった。

さらに重要なのは、Vercelのセキュリティ告知が自ら書いている内容だ。ログと環境変数の読み取りイベントを広く見直した結果、4月のインシデントで追加被害を受けたアカウントが少数見つかり、それとは別に、同インシデントとは区別される顧客アカウントの侵害兆候も少数確認された。Vercelは、その別件は自社システム起点には見えないとしている。それでも顧客側から見れば、秘密情報が想定より早く露出していた可能性を意味する。

会社は攻撃の起点としてContext.aiを挙げる。攻撃者はVercel社員が使っていた第三者AIツールContext.aiを侵害し、その社員のGoogle Workspaceアカウントを乗っ取ってVercel環境へ横展開した。そこで機密指定されていない環境変数を列挙し、復号したという。CEOのギレルモ・ラウフも、攻撃者がトークンや鍵を探すマルウェアを使った可能性に触れている。

エンジニアリングチームにとって重要なのは二つだ。ひとつは、Vercelが影響顧客数も別件侵害の開始時点もまだ明らかにしていないこと。もうひとつは、プロジェクト削除だけでは不十分だと自社で明言していることだ。機密指定されていない環境変数のローテーション、アクティビティログと最近のデプロイの再点検、MFAとDeployment Protectionの見直しが推奨されている。

この件は、クラウド侵害がどんな形で広がるかをよく示している。派手な停止より先に奪われるのは、トークン、APIキー、環境変数だ。複数サービスで使い回される資格情報が抜かれれば、被害は一社の境界で止まらない。Vercelを本番基盤に使うチームは、いまは障害対応より先に資格情報漏えいとして扱うべき局面だ。