セキュリティ

Robloxチート感染からVercel侵害まで1ヶ月の鎖

Vercelが2026年4月19日に開示したセキュリティインシデントは、根を辿るとある従業員がRobloxの自動化チートを探してダウンロードした瞬間まで戻る。そこから1ヶ月で、Next.jsを擁するクラウド基盤の中が外から覗かれていた。

情報の灯台

2026年4月20日

入り口はゲームのチート、出口はNext.jsプラットフォーム

最初に世に出たのは、「Vercelが内部システムへの不正アクセスを確認した」というシンプルな一報だった。だが今回のケースが他のSaaS侵害と違うのは、Vercel自身ではなく、Vercel従業員が自分のエンタープライズアカウントで登録していた第三者AIツールが起点になっていた点にある。そのツールは、文書やプレゼンをAIエージェント経由で編集するサービスContext.aiのAI Office Suiteだ。

そしてContext.aiに最初の穴を開けた個体が、後続でHudson Rockの分析によって特定された。Vercelの従業員でも、Context.ai本体のクラウドでもない。あるContext.ai社員が2026年2月、個人の端末でRobloxの「auto-farm」スクリプトと実行ツールを探していたブラウザ履歴が残っていた。Roblox界隈で配布されているその種のツールは、Lumma Stealerと呼ばれる情報窃取型マルウェアの配送手段として乗っ取られているケースが多い。今回もまさに、その経路で感染した。

感染端末からは、Google Workspace 認証情報のほか、Supabase・Datadog・Authkitの鍵やログイン情報、さらに[email protected]アカウントまで抜き取られた。従業員の個人的な寄り道が、会社の信用境界ごと持っていかれる経路になる。

Context.aiを踏み台に、OAuthで他社へ歩いた

ここから侵害は外へ広がった。Context.aiは今回のVercel開示に合わせて、3月にAWS環境への不正アクセスを検知・停止し、CrowdStrikeを入れて調査を行ったと明かしている。AWS遮断より前にOAuthトークンが盗まれていたこと、そしてそのOAuthトークンがVercel社員のGoogle Workspaceへのアクセスに使われたことも認めた。

Vercelは当社の顧客ではない。だが、少なくとも1人のVercel従業員が、自身のVercelエンタープライズアカウントでAI Office Suiteに登録し、「すべて許可」の権限を与えていた。

ここが多くの企業に刺さる部分だ。Context.aiのAI Office Suiteは、生成AI エージェントが外部アプリで実際に操作を行うための連携機能を持っていた。便利さの代償として、OAuth権限はGoogle Workspace側でメール、Drive、カレンダー、ディレクトリまで及ぶ範囲で付与されやすい。しかもVercelのエンタープライズGoogle Workspaceは、この「すべて許可」の申請を通してしまう設定のままだった。一人の同意で会社全体の境界が開く運用は、今回の事故で想像上の話から実例に変わった。

侵入した攻撃者は、その踏み台からVercelの環境へ水平展開した。Vercelが公式に開示した範囲では、攻撃者はGoogle Workspaceアカウントの乗っ取りを足場にして、Vercel内部環境と、sensitiveとして分類されていない環境変数に触れたとされる。CEOのGuillermo Rauchは攻撃者を「極めて高度」と評し、応援としてMandiantを入れた。

Vercelはすべての顧客環境変数を暗号化して保管している。だが、環境変数を「非機密」として指定できる仕組みも設けていた。残念ながら、攻撃者はその列挙を通じてさらなるアクセスを得た。

「非機密」というラベルが、現場で何を意味していたか

Vercelの環境変数には、sensitiveフラグを立てると読み取り不能な形で保管される仕組みがある。今回の開示でVercelは、sensitiveマークの値については「アクセスされた証拠はない」と明言した。逆に言えば、それ以外の環境変数については、可能性を排除できないということだ。

ここで誤解したくないのは、「非機密なら漏れても大した話ではない」という受け止めだ。多くの現場で、環境変数は運用の便宜上、「公開前提のフラグやエンドポイント」「限定権限のトークン」「内部APIの接続情報」「テスト用の接続文字列」といった種類の違う値が混在する。sensitiveを明示的に立てなければ、それは単に暗号化保管の恩恵を受けないだけで、他システムへの列挙の手掛かりにはなり得る。Vercelが「秘密を含むのにsensitiveが立っていない環境変数は、流出の可能性を前提に優先的にローテーションせよ」と踏み込んだのは、そのラインが今回の争点だったからだ。

秘密情報を含んでいるのにsensitiveとして設定されていない環境変数があれば、それは露出した可能性を前提に扱い、優先的にローテーションすべきだ。

Vercelはこのインシデントと同時に、ダッシュボードに環境変数の全体一覧ページと、sensitiveフラグの管理UIの改善を投入した。後追いの体裁を整えたとも読めるし、利用企業に棚卸しを急がせる実務ツールを渡したとも読める。どちらにせよ、「暗号化されているかどうか」より「どれを暗号化対象として扱っていたか」という、設定と運用の境目が可視化された。

1ヶ月前の感染ログが、この事故の痛さを決める

今回のインシデントで一番痛いのは、発見のタイムラインだ。Hudson Rockは、Context.aiの従業員が感染した2026年2月の時点で、この個体のLumma Stealer感染ログを既に取得していた。ログには、Context.aiアカウント、[email protected]、Google Workspace認証情報、さらにcontext-incというVercel上のチームの管理エンドポイント(環境変数画面、設定画面、ログ画面)への直接アクセス履歴までが残っていた。

Hudson Rockの分析はこう指摘している。「この感染が特定され、認証情報が即座に失効されていれば、このサプライチェーン攻撃は完全に防げた」と。1ヶ月の間に、攻撃者は盗んだOAuthトークンとセッションを育て、Context.aiのAWSへ踏み込み、そこからVercel従業員のGoogle Workspaceに侵入し、最終的にVercel内部まで辿り着いた。検知技術の問題ではない。検知と失効の間にある時間の長さが、今回の被害規模を決めた。

これは、Infostealer(情報窃取型マルウェア)に対する企業側の運用の弱点そのものだ。従業員個人の端末で発生した感染は、会社のEDRが届かない領域で発火する。盗まれた認証情報はMarket placeに流れ、攻撃者はそこから「企業」を標的に紐付け直す。VercelとContext.aiの事件は、個人の不注意がサプライチェーン破壊の一歩目になる時代の、典型的な実例として残るだろう。

売買主張とサプライチェーン不安は、まだ切り離して読む

報道で派手に見える部分は、ShinyHuntersを名乗る人物のBreachForumsへの投稿だ。アクセスキー、ソースコード、データベース、内部デプロイ、APIキー、NPMトークン、GitHubトークン、580件の従業員レコード、社内ダッシュボードの画像を持っていると主張し、200万ドル(約3億1600万円)の売値と50万ドル(約7900万円)の初期支払いをBitcoinで要求したという。本人はVercelと身代金交渉をしていたとも述べた。

ただしこの売買主張は、本稿執筆時点で独立した検証がされていない。BleepingComputerは自記事の中でこの点を明記しているし、Vercelは「Next.js、Turbopack、その他のオープンソースプロジェクトは安全だ」と発表している。Next.jsの週間ダウンロード数を前提にしたサプライチェーン攻撃の可能性は、たしかに想像しうる最悪のシナリオだが、現時点での確定事実と、攻撃者側の主張は切り離して扱うべきだ。ここを混ぜてしまうと、「Vercelが破られた」で終わる話と、「Next.jsが汚染されるかもしれない」という別次元の不安が読者の頭の中で結合してしまう。

とはいえ、その不安が出てくるだけの材料は揃っている。開発基盤企業は複数のSaaSと認証でつながり、権限が一点に集中している。OAuthでつながる周辺AIツール、社内アカウント、環境変数の分類、オープンソースへの信頼、どれもが今回の事故の中で同じ鎖の一部として見えてしまった。

この事件が置いていく課題

Vercel利用企業にとって、次の判断点は「漏えい件数の続報を待つ」ことではない。棚卸しの対象は明快だ。Google Workspaceで認可したOAuthアプリケーションの一覧、とりわけ「すべて許可」を付与した第三者AIツールへのアクセス権。環境変数にsensitiveフラグを立てる基準の再定義。ローテーション対象の優先順位付け。そしてInfostealer感染の早期検知・認証情報失効のプロセスを、個人端末由来の感染にまで伸ばす運用だ。

もっと広く言えば、今回はAIツールのOAuth同意が認証境界の新しい入口になることをはっきり見せつけた。便利さの裏で、一人の従業員の「すべて許可」クリックが、企業の内側全体を見通せる権限を外部に開ける。その構造を、利用規約や情シスの承認プロセスに落とし込んでいる組織はまだ少ない。

Vercelが今回公表した範囲はまだ限定的だが、読み取れる運用上の教訓はすでにかなり広い。個人の端末の1件の感染が、Next.jsを支えるプラットフォームの根元まで響く線を辿れた。1ヶ月あれば、鎖は走り切る。その時間をどう縮めるかが、今回の事故が業界に残した宿題だ。

参照元

他参照