2026年4月19日、世界中の開発者が使うクラウドデプロイプラットフォーム「Vercel」で、内部システムへの不正アクセスを伴うセキュリティインシデントが公式に確認されました。
もしあなたがVercelを使ってWebアプリやサイトを運用しているなら、今すぐこの記事を読んで対処してください。被害を受けているかどうかを確認し、必要な手順を踏むことが、あなたのサービスとユーザーを守る最初の一歩です。
何が起きたのか
Vercelのセキュリティチームは2026年4月19日、内部システムの一部に対して不正アクセスがあったことを公式に認め、セキュリティバレティンを公開しました。同社はインシデント対応の専門家を起用し、法執行機関にも通知。調査を継続しながらサービス自体は稼働を維持しています。
今回の侵入経路として判明したのは、Vercel社員が業務で利用していたサードパーティ製のAIツール「Context.ai」のGoogle Workspace OAuthアプリが別途侵害されたことが発端でした。そのOAuthアプリを踏み台にして攻撃者がVercel内部の環境変数にアクセスし、センシティブとしてマークされていなかった変数を経由してさらなる内部への侵入を拡大したとCEOのGuillermo Rauch氏が説明しています。この手法はVercel単体を直接狙ったものではなく、複数の組織に波及した広範なサプライチェーン攻撃の一部と見られています。
ハッキングフォーラム「BreachForums」では「ShinyHunters」を名乗る脅威アクターが、Vercelの内部データベース、従業員アカウント、GitHubトークン、npmトークンなどを200万ドルで販売すると主張しており、セキュリティコミュニティの間で大きな警戒感が広がっています。ただし、ShinyHuntersグループとの正式な関係は本グループ側から否定されており、攻撃者の帰属はまだ確定していません。
ShinyHuntersとは:
2019年から活動するデータ窃取・恐喝グループで、過去にWattpadの2億7000万件のアカウント情報流出やAT&T Wirelessの1億1000万件超の顧客データ侵害に関与したとされています。ただし、このグループの名前は複数の攻撃者に悪用されることがあるため、同名を名乗ったとしても必ずしも同一グループとは限りません。
何が影響を受けたのか
Vercelの公式発表では「限定的な顧客サブセット」のみが直接影響を受けたとしており、該当する顧客には個別に連絡を取っています。しかしセキュリティ研究者やコミュニティからは、より広範な影響の可能性について議論が続いています。
今回の侵害で特に注目されるのは環境変数の取り扱いです。Vercelの環境変数には、データベースの接続情報、APIキー、認証トークンなど、サービス運営に不可欠なシークレット情報が含まれることが多くあります。Vercelの「センシティブ」機能でマークされた環境変数は保存時に暗号化されており、現時点では侵害された証拠がないとされています。一方で、センシティブとしてマークされていなかった環境変数については、攻撃者が閲覧できた可能性があります。
また、開発者コミュニティでよく知られたTheo Browne氏は、Vercelの内部のLinearとGitHub連携が特に影響を受けたと指摘しており、GitHubやnpmのトークンが含まれていた場合はサプライチェーン攻撃のリスクが生じると警告しています。
| 影響の種別 | 状況 |
|---|---|
| サービスの稼働状況 | 正常稼働中(影響なし) |
| センシティブ環境変数 | 暗号化保護されており、現時点で侵害の証拠なし |
| 通常の環境変数 | 閲覧された可能性あり。ローテーションを推奨 |
| GitHubトークン・npmトークン | 侵害の主張あり。独立した検証は未完了 |
今すぐやるべき対処ステップ
Vercel側が公式に推奨するアクションと、セキュリティ専門家が追加で提唱するアクションを合わせて紹介します。特にVercelを業務やプロダクション環境で使っている方は、後回しにせず今日中に対応することを強くお勧めします。
ステップ1: アカウントのアクティビティログを確認する
Vercelのダッシュボードにログインし、アカウントと各環境のアクティビティログを確認します。見覚えのないデプロイ、環境変数の変更、アクセス元IPなどに不審な点がないかチェックしてください。Vercelはこの調査をサポートするために、ダッシュボードに環境変数の概要ページと、センシティブ環境変数の管理画面を改善したと発表しています。
ステップ2: センシティブでない環境変数をすべてローテーションする
Vercelの設定で「Sensitive」としてマークされていない環境変数に含まれるシークレット、たとえばAPIキー、データベース接続文字列、認証トークンなどはすべて新しい値に更新(ローテーション)してください。古い値が攻撃者の手に渡っている可能性を排除するための最重要ステップです。
ステップ3: 環境変数をセンシティブ設定に移行する
Vercelのセンシティブ環境変数機能を使うと、値が保存時に暗号化されてUI上からも読み返せない形式で保存されます。シークレット情報は今後すべてこの設定で管理するよう切り替えましょう。Vercel公式ドキュメント(vercel.com/docs/environment-variables/sensitive-environment-variables)で手順を確認できます。
ステップ4: GitHubトークンとnpmトークンを再生成する
VercelとGitHubを連携させている場合、そのGitHub連携トークンを再生成することを強く推奨します。同様に、npmトークンをVercel経由で管理していた場合も新しいトークンに更新してください。既存のトークンは侵害されたものとして扱い、失効させてから再発行するのが安全策です。
ステップ5: Google WorkspaceのOAuthアプリを確認する
Vercelが公開したIOC(侵害の痕跡)として、以下のOAuth App IDが示されています。
OAuth App ID: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
Google Workspace管理者はGoogleの管理コンソールから、このOAuthアプリが組織内でアクセスを許可されていないか確認し、もし見つかった場合は即座にアクセスを取り消してください。このアプリはContext.aiに関連するとされており、Vercel以外の企業にも影響が及んでいる可能性があります。
ステップ6: ビルドログを監査する
最近のビルドログに、平常とは異なるコマンドの実行、外部への不審な通信、ビルドプロセス中に環境変数が意図せず出力されたような痕跡がないかを確認します。セキュリティ専門家は、ビルド環境中にキャッシュされたクレデンシャルにも注意を払うよう呼びかけています。
| 対処項目 | 優先度 | 対象者 |
|---|---|---|
| アクティビティログの確認 | 最優先 | 全ユーザー |
| 環境変数のローテーション | 最優先 | 全ユーザー |
| センシティブ設定への移行 | 高 | 全ユーザー |
| GitHubトークンの再生成 | 高 | GitHub連携ユーザー |
| Google OAuthアプリの確認 | 高 | Google Workspace管理者 |
| ビルドログの監査 | 中 | 全ユーザー |
このインシデントが示すサプライチェーンリスクの本質
今回のVercel侵害で最も重要な教訓は、直接攻撃ではなく、信頼されたサードパーティツールを経由して侵入されたという点です。Context.aiというAIツールが侵害され、そのGoogle Workspace OAuthアプリを通じてVercelの社員アカウントが危険にさらされ、さらにVercelの内部環境へとアクセスが拡大していきました。
この手口は「サプライチェーン攻撃」と呼ばれ、セキュリティが堅牢なプラットフォームであっても、連携するツールやサービスの一つが弱ければそこを起点に侵入される可能性があることを示しています。開発者がAIツール、CI/CDシステム、プロジェクト管理ツールとのOAuth連携を次々と増やしている昨今、それぞれのツールが持つ権限スコープや信頼性を定期的に見直すことが不可欠になっています。
サプライチェーン攻撃とは:
ターゲット企業そのものを直接攻撃するのではなく、そのターゲットが利用しているツール、ライブラリ、サービスプロバイダーなどを経由して侵入する手法です。2020年のSolarWinds事件や、2021年のKaseya事件など、近年では大規模なサプライチェーン攻撃が相次いでいます。開発環境やCI/CDパイプラインは特に狙われやすいターゲットです。
Vercel自体はNext.jsやTurborepoなど、世界中の開発者が依存する主要なJavaScriptエコシステムを支えているプラットフォームです。そのため、もし仮にGitHubトークンやnpmトークンが悪用されてパッケージに悪意あるコードが混入されるような事態になれば、数百万の開発者とエンドユーザーに波及するリスクがあります。幸い2026年4月20日現在、そのような下流への侵害は確認されていませんが、引き続き状況を注視する必要があります。
今後の情報収集と連絡先
Vercelは調査が進むにつれてセキュリティバレティンを更新すると表明しています。直接影響を受けた顧客には個別に連絡が届く予定ですが、連絡を待つのではなく自分でも積極的に確認と対処を進めることが重要です。
追加の質問がある場合はVercelのサポートチーム([email protected])に問い合わせてください。公式バレティンのページ(vercel.com/kb/bulletin/vercel-april-2026-security-incident)をブックマークして、最新情報をこまめにチェックすることもお勧めします。
今回の件で学ぶ、普段からできるセキュリティのベストプラクティス:
シークレット情報は必ず暗号化された仕組みで管理する。Google WorkspaceやGitHubなどに連携しているOAuthアプリを定期的に棚卸しし、不要な権限は取り消す。重要なAPIキーやトークンは90日ごとにローテーションするポリシーを設ける。ビルドログやアクセスログを定期的に監視する習慣をつける。これらは今回のような大規模インシデントに関わらず、日常的に取り組むべき基本的なセキュリティ対策です。
セキュリティインシデントは「自分には関係ない」と思っているときに起きます。今回のVercelの件は、私たちが毎日使っているツールやプラットフォームがいかに複雑な信頼の連鎖の上に成り立っているかを改めて示してくれました。まずは今日、自分のVercelプロジェクトの環境変数を一度確認してみることから始めてみてください。
コメント