Vercelは、内部システムへの不正アクセスを含むセキュリティインシデントが発生し、一部顧客に影響が及んだと公表した。
同ウェブホスティングプラットフォームは4月19日、セキュリティ速報を公開し、すべての利用者に対し環境変数の即時確認を呼びかけている。
Vercelで何が起きたか
Vercelの公式声明によると、攻撃者が一部の内部システムに不正アクセスした。Vercelはインシデント対応の専門家を招き、当局に通報したとしている。
開発者のセオ・ブラウン氏は、VercelのLinearおよびGitHub連携が主に攻撃を受けたと追加の詳細を明らかにしている。
ただし、プラットフォーム内で「センシティブ」とマークされた環境変数は保護された状態が保たれていた。
センシティブでない環境変数については、予防措置としてローテーション(再設定)が推奨される。
侵害手法はVercel以外の複数企業も標的とした可能性があり、影響範囲の全貌は現在も調査中で判明していない。
暗号資産プロジェクトはなぜ注意すべきか
多くの暗号資産やWeb3関連フロントエンドがVercel上でデプロイされており、ウォレットコネクタや分散型アプリケーションのUIも例外ではない。
APIキーやプライベートなRPCエンドポイント、ウォレット関連の秘密情報を非センシティブ環境変数に保存しているプロジェクトは、情報漏洩リスクが生じる可能性がある。
侵害はブロックチェーンやスマートコントラクト自体に直接影響しない。これらはフロントエンドホスティングとは独立して動作しているためだ。
ただし、デプロイパイプラインが侵害された場合、該当アカウントでビルド内容の改ざんが理論的に可能となるリスクがある。
現時点でビルド改ざんの事例は確認されていない。
Vercelは全環境変数の見直しと、センシティブ変数機能の有効化を推奨している。
セキュリティ専門家は、Vercelとの連携に使われているGitHubトークンの再発行や、キャッシュされた認証情報がないか直近のビルドログの監査も求めている。
今回のインシデントは、分散型の領域において中央集権的なデプロイ基盤がもたらすリスクを再認識させる事例である。
