Next.jsの開発元として知られ、世界中の開発者に愛用されているクラウドプラットフォームVercelが、セキュリティ侵害を正式に公表した。攻撃者はサードパーティAIツールのGoogle Workspace OAuth連携を踏み台にして内部システムへの侵入を果たしたとされており、現代の開発インフラが抱えるリスクをあらためて浮き彫りにした事件だ。
何が起きたか
Vercelは2026年4月19日付のセキュリティ情報で、「内部システムへの不正アクセスを伴うセキュリティインシデントが発生した」と発表した。インシデントレスポンスの専門家を起用し、法執行機関にも通報済みとのことで、現時点でサービス自体への影響はないとしている。
「ShinyHunters」を名乗る脅威アクターがハッキングフォーラムで「Vercelに侵入してデータを販売する」と主張し、アクセスキー・ソースコード・データベースデータ・APIキー(NPMトークン、GitHubトークンを含む)のほか、580件の社員情報(氏名・メールアドレス・アカウントステータス・タイムスタンプ)が含まれているとされる。また攻撃者はVercelへの身代金として200万ドル(約3億円)を要求したとも伝えられている。
ただし、過去の「ShinyHunters」関連攻撃に関与したとされるアクターたちは、今回の件への関与を否定しているとBleepingComputerは報じており、実態の確認には慎重さが必要だ。
侵入経路:OAuth連携の落とし穴
事件の核心は、Vercelが後日更新した発表の中にある。侵入経路はサードパーティAIツールのGoogle Workspace OAuthアプリケーションの侵害だったという。
Vercelは、Google WorkspaceやGoogleアカウントの管理者に対し、以下のクライアントIDを持つOAuthアプリケーションの接続を確認するよう注意喚起を出している:
出典: この記事は Vercel confirms breach as hackers claim to be selling stolen data の内容をもとに、筆者の見解を加えて独自に執筆したものです。