クラウド開発プラットフォームのバーセル(Vercel)は19日、同社の内部システムへの不正アクセスが確認されたと公式ページで発表した。
バーセルはウェブサービスやアプリを手軽に公開できるホスティング基盤として広く普及しており、多くの仮想通貨・DeFi(分散型金融)プロジェクトのフロントエンド、つまりユーザーが実際に操作する画面部分もこのプラットフォーム上で動いている。今回の侵害により、こうしたプロジェクトの認証情報が漏えいした可能性が懸念されている。
調査の結果、侵害の入口となったのはバーセル社内で使用していた小規模な第三者製AIツールだったことが判明した。このAIツールはGoogleアカウントと連携する「OAuth(オープン認証)」という仕組みを使っていたが、そのアプリ自体が外部から攻撃を受けた。
OAuthとは「他サービスのアカウントでログインする」機能のことで、「Googleでログイン」ボタンなどが代表例だ。このツールは数百の組織で利用されていたとされており、バーセル以外にも被害が及んでいる可能性がある。
攻撃者はハッカーフォーラム「BreachForums(ブリーチフォーラムズ)」上で、自称「ShinyHunters(シャイニーハンターズ)」を名乗り、Vercelの内部データベース・従業員アカウント・ソースコード・APIキー・GitHubトークンなどを200万ドル(約3億円)で販売していると主張しているとの情報も浮上している。
APIキーやGitHubトークンとは、システム間の連携や開発作業に使われる「デジタルの合鍵」にあたるもので、これが流出した場合、第三者がシステムに不正侵入したり、コードを改ざんしたりするリスクがある。ブロックチェーンセキュリティ企業のスローフォグ(Slow Fog)もこの情報を確認しており、Vercelの内部管理ツール「Linear(リニア)」およびGitHubとの連携機能が攻撃の主な標的になったとみている。
仮想通貨・Web3プロジェクトへの影響も懸念される。バーセルはDeFiアプリのフロントエンド、つまりユーザーが実際にウォレットを接続したり取引操作を行う画面部分を多く抱えるプラットフォームであり、こうしたアプリの多くはAPIキーやブロックチェーンへの接続情報を環境変数として同プラットフォーム上で管理している。
攻撃者がこれらを入手した場合、ユーザーへ偽の画面を表示するフロントエンド改ざんや、外部サービスへの不正アクセスが理論上は可能になる。
実際に対応を表明したプロジェクトも出ている。ソラナ上の流動性プロトコル「オルカ(Orca)」は公式X(旧Twitter)で、フロントエンドをバーセル上で運用していることを認めた上で、「予防措置として露出した可能性のある全ての認証情報を更新した」と発表した。同プロトコルのチェーン上の資産およびユーザー資金への影響はないとしている。
一方、セキュリティ専門家の間ではより広範な「サプライチェーン攻撃」への波及リスクも指摘されている。これは広く使われるソフトウェアそのものに悪意あるコードを混入させ、それを利用する無数のシステムを一括して感染させる手法だ。
バーセルはJavaScript開発で世界的に普及するフレームワーク「Next.js」の開発元でもあり、もし開発用の各種認証情報(GitHubトークン・NPMトークン)が悪用された場合、世界中の開発者環境に連鎖的な被害が生じる可能性がある。
ただし同社CEOのギリェルメ・ラウフ(Guillermo Rauch)氏は、「Next.jsおよびその関連開発ツール(Turbopack)への影響はないことを公式に確認している」と述べており、ブロックチェーン自体やスマートコントラクトへの直接的な影響もない。現時点でこのシナリオを裏付ける証拠は確認されていないが、「センシティブ(機密)」設定のされていない環境変数については即時更新が推奨されている。
今回の事案は、開発現場へのAIツール導入が急速に広がる中、その連携経路が新たな攻撃の糸口になりうることを改めて示している。「便利さ」と引き換えに、接続したツール一つひとつがセキュリティ上のリスクになり得るという構造的な問題が浮き彫りになった形だ。バーセルは引き続き調査を進め、進展があり次第、公式ページを更新するとしている。
