セキュリティインシデント

フロントエンドクラウドプラットフォーム Vercel の CEO Guillermo Rauch はツイートで、チームが深刻なセキュリティ調査を完了し、分析範囲が約 1 PB の完全な Vercel ネットワークおよび API ログに及ぶことを報告しました。これは最初の Context.ai アカウント侵害事件をはるかに超えています。調査によると、攻撃者の活動範囲は Context.ai を超え、より広範囲にわたってマルウェアを配布しており、Vercel などのプラットフォームのアカウントキーを盗むことを目的としています。キーを取得すると、攻撃者は迅速かつ包括的に非機密環境変数を列挙します。現在講じられている対策には、Microsoft、AWS、Wiz などの業界パートナーとの協力を深め、より広範なインターネットエコシステムを共同で保護することが含まれています。また、他の疑わしい被害者に通知し、直ちに認証情報をローテーションし、セキュリティのベストプラクティスを強化することを推奨しています。

Vercelはセキュリティ事件の分析を発表し、内部システムの一部が未承認のアクセスを受けたと述べています。その原因は、従業員が使用していた第三者のAIツールContext.aiが侵害され、攻撃者がこれを利用してGoogle Workspaceアカウントを乗っ取り、一部の環境設定データにアクセスしたことです。初期の影響として、少数の顧客の「敏感」としてマークされていない環境変数（APIキー、トークンなど）が漏洩する可能性があり、関連するユーザーには通知され、すぐに認証情報をローテーションするように推奨されています。現在、「敏感」としてマークされたデータやサプライチェーン（npmパッケージなど）が改ざんされたという証拠はありません。Vercelは、攻撃者が高い技術レベルを持っていると述べ、Mandiantおよび複数のセキュリティ機関と連携して調査を行っており、法執行機関にも報告しています。同時に、プラットフォームサービスは正常に稼働していると強調しています。また、ユーザーには多要素認証を有効にし、潜在的に漏洩した環境変数を全面的にローテーションし、アカウントの活動ログやデプロイ記録を確認してさらなるリスクを防ぐように推奨しています。

Resolv Labsは安全事件についての更新を発表し、悪意のある攻撃者が盗まれた秘密鍵を通じてResolvのインフラに不正アクセスし、約8000万ドルの担保なしUSRを鋳造したと述べています。関連するスマートコントラクトは迅速に停止され、攻撃者が保有していた約900万USRは潜在的な影響を軽減するために破棄されました。現在、プロトコルは約1.41億ドルの資産を保有しており、確認された実際の影響は停止前に処理された約50万ドルの償還のみです。現在のUSR供給量は、事件前の1.02億枚と約7100万枚の新たに鋳造された不正トークンで構成されています。復旧の第一歩として、Resolvは2026年3月23日からホワイトリストユーザーから始めて、事件前のUSRの償還を許可する計画です。影響を受けたユーザーは公式チャネルを通じて直接RDALと調整する必要があります。発表によると、この事件は第三者の無許可の行為に起因しており、標的を絞ったインフラ攻撃が含まれています。Resolvの基礎担保は直接的な損害を受けていません。チームは不正に鋳造されたUSRおよびその他の影響を受けた資産を追跡し、制御しようとしており、パートナーや対抗者と調整し、法執行機関やオンチェーン分析会社と協力して責任者を追及しています。Resolvは、復旧措置が実施されている間はUSRまたは関連するResolvトークンの取引を行わないことを強く推奨しています。事件後のユーザーの取引行動は復旧プロセスに影響を与える可能性があります。

ChainCatcher のメッセージによると、PeckShield の警告により、通貨市場プロトコル CrediX の公式 X アカウント（@CrediX_fi）が現在無効化されています。以前、CrediX でセキュリティ事件が発生し、約 450 万ドルの損失が出ました。

ChainCatcher のメッセージ、Echo Protocol チームメンバー @jonphayyy が投稿したところによると、プロジェクトの公式 X プラットフォームアカウントが侵害されており、現在公開されている異常な内容はチームによるものではないため、ユーザーは関連リンクをクリックしたり、対話したりしないようにしてください。チームは、この事件がユーザーの資金やデータに影響を与えていないことを述べており、プロトコル自体は引き続き完全に安全であるとしています。Echo Protocol は X プラットフォームと協力してアカウントの回復を進めており、ユーザーに対して疑わしい内容を発見した場合は通報を協力して行うように呼びかけています。

ChainCatcher のメッセージによると、SlowMist の余弦は X プラットフォームで、GitHub Actions CI/CD メカニズムを利用して Coinbase に対するサプライチェーン攻撃を行ったと発表しました。幸いにも、攻撃は成功しなかったため、次に暴露されるセキュリティ事件は Coinbase に対するものであったでしょう。GitHub 上のサプライチェーン攻撃の経路は次の通りです：reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit -> GitHub Personal Access Token（PAT）やクラウドサービスに関連するキーなどを盗む。余弦は、企業が reviewdog または tj-actions を使用している場合は、自己点検を行うべきだと提案しています。

ChainCatcher のメッセージによると、io.net の共同創設者兼 CEO の Ahmad Shadid が投稿し、最近、メタデータ API への不正アクセスが発生し、ユーザーのフロントエンドに表示されるメタデータに影響を与えたことを明らかにしました。GPU アクセス権は漏洩しておらず、敏感なユーザーやデバイスデータも公開されていません。この事件を受けて、io.net は OKTA のユーザーレベルの認証統合の展開を加速しており、この展開は今後 6 時間以内に完了する予定です。さらに、io.net は Auth0 トークンを導入してユーザー認証を行い、不正なメタデータの変更を防止します。データベースの復旧中、ユーザーは一時的にログインできなくなります。すべての正常な稼働時間の記録には影響がなく、これによりベンダーの計算報酬にも影響はありません。

ChainCatcher のメッセージによると、マイクロソフトは公式ウェブサイトで安全報告を発表し、DEV-0139 としてマークされたハッカーが暗号業界の企業に対して標的攻撃を行っていると述べています。報告によると、ハッカーはテレグラムグループを通じて攻撃対象を特定し、暗号投資会社の代表を装って初期の信頼を得た後、攻撃対象に対して被害者のシステムにリモートアクセスできる悪意のあるコードを含む Excel ファイルを送信し、攻撃を開始します。（出典リンク）