Vercelがセキュリティインシデント分析を発表：サードパーティAIツールの侵害により不正アクセスが発生、現時点で機微データの改ざんはなし

Odailyのニュースです Vercelはセキュリティインシデント分析を公開し、一部の内部システムが不正アクセスを受けたことを明らかにしました。原因は、従業員が使用していたサードパーティAIツール「Context.ai」が侵害され、攻撃者がそのGoogle Workspaceアカウントを乗っ取り、一部の環境設定データにアクセスしたことです。

初期の影響として、少数の顧客の「機微」とマークされていない環境変数（APIキー、トークンなど）が漏洩した可能性があり、関連ユーザーに通知し、直ちに認証情報のローテーションを推奨しています。現在のところ、「機微」とマークされたデータやサプライチェーン（npmパッケージなど）が改ざんされた証拠はありません。

Vercelは、攻撃者が高い技術レベルを有していると述べ、Mandiantおよび複数のセキュリティ機関と共同で調査を開始し、法執行機関にも通報しました。同時に、プラットフォームサービスは正常に稼働していることを強調し、ユーザーに対して多要素認証の有効化、潜在的に漏洩した可能性のある環境変数の全面的なローテーション、さらなるリスクを防ぐためのアカウント活動ログおよびデプロイメント記録の確認を公式に推奨しています。