Vercel:第三者のAIツールが攻撃され、内部システムが未承認アクセスを受ける。現在、機密データの改ざんは確認されていない。
Vercelはセキュリティ事件の分析を発表し、内部システムの一部が未承認のアクセスを受けたと述べています。その原因は、従業員が使用していた第三者のAIツールContext.aiが侵害され、攻撃者がこれを利用してGoogle Workspaceアカウントを乗っ取り、一部の環境設定データにアクセスしたことです。初期の影響として、少数の顧客の「敏感」としてマークされていない環境変数(APIキー、トークンなど)が漏洩する可能性があり、関連するユーザーには通知され、すぐに認証情報をローテーションするように推奨されています。現在、「敏感」としてマークされたデータやサプライチェーン(npmパッケージなど)が改ざんされたという証拠はありません。Vercelは、攻撃者が高い技術レベルを持っていると述べ、Mandiantおよび複数のセキュリティ機関と連携して調査を行っており、法執行機関にも報告しています。同時に、プラットフォームサービスは正常に稼働していると強調しています。また、ユーザーには多要素認証を有効にし、潜在的に漏洩した環境変数を全面的にローテーションし、アカウントの活動ログやデプロイ記録を確認してさらなるリスクを防ぐように推奨しています。
