「便利だから」と連携させたAIツールが、まさかハッカーの侵入口になるとは——。フロントエンド開発者に広く利用されているクラウドプラットフォーム「Vercel」で、2026年4月19日にセキュリティインシデントが発生しました。一部の顧客に影響が及んだこの事件、注目すべきは侵入経路です。Vercelによれば、サードパーティー製AIツール「Context.ai」の侵害されたGoogle Workspace OAuthアプリが原因だったとのこと。
「自分はVercelなんて使っていないから関係ない」と思った方も、ちょっと待ってください。この事件が示しているのは、OAuth連携という仕組みそのものが持つリスクです。GoogleアカウントやMicrosoftアカウントで「○○と連携しますか?」と聞かれて許可した経験がある方——つまりほぼ全員に関係する話です。
Vercelで何が起きたのか——事件の全体像
Vercelの公式セキュリティ報告によると、内部システムの一部に対して認可されていないアクセスが確認されました。Vercelは発覚後、MandiantをはじめとするインシデントRresponse専門家を起用し、法執行機関にも通報しています。
サービス自体は継続して稼働しており、影響を受けたのは限定された顧客層にとどまるとVercelは説明しています。対象の顧客には個別に連絡を取っているとのことです。
一方、BleepingComputerなど複数のセキュリティ専門メディアによれば、「ShinyHunters」を名乗る人物がハッカーフォーラムにデータを掲載し、内部アクセス権を200万ドルで売りに出していると主張しています。ただし、ShinyHuntersグループ本体はBleepingComputerの取材に対し「このインシデントには関与していない」と否定しており、名乗りの真偽は不明です。Vercel側も攻撃者からの身代金要求などの直接連絡は受けていないと述べています。投稿されたデータには従業員の氏名、メールアドレス、活動時刻のタイムスタンプなどが含まれていたと報じられています。
攻撃の入口は「AIツール」——OAuth連携が狙われた仕組み
今回の事件で最も注目すべきポイントは、攻撃の経路です。発端はVercelではなく、Vercel従業員が社内で利用していたAIツール「Context.ai」でした。
攻撃の流れをたどると、まずContext.aiの従業員がゲームのエクスプロイト(脆弱性悪用ツール)をダウンロードしたことで、そのデバイスが情報窃取マルウェア「Lumma Stealer」に感染。これによりContext.aiの認証情報が外部に漏洩し、攻撃者がContext.aiのOAuthトークンへの不正アクセスを確立しました。
VercelのあるAI従業員はContext.aiに対し、Vercel EnterpriseのGoogleアカウントを用いてGoogle Driveへの広範な読み取りアクセスを許可していました。攻撃者はそのアクセスを足がかりに、この従業員のVercel Google Workspaceアカウントを乗っ取り、さらにVercelの内部システムへと侵入。「sensitive」として設定されていなかった環境変数を列挙・復号するに至りました。
Vercelはこの侵害について、「小規模なサードパーティー製AIツール(Context.ai)のGoogle Workspace OAuthアプリが、複数組織の数百人規模の利用者に影響し得る広範な侵害の対象になっていた」と説明しています。
ここで言う「OAuthアプリ」とは何か、かみ砕いて説明します。OAuthとは、あるサービスが別のサービスのデータにアクセスするための「許可の仕組み」です。たとえば、あるAIツールが「Googleカレンダーの予定を読み取りたい」と要求し、ユーザーが「許可する」をクリックすると、そのAIツールにGoogleアカウントの一部データへのアクセス権が渡ります。
パスワードそのものを渡すわけではないので安全だと思いがちですが、OAuthアプリ自体が攻撃者に乗っ取られると、そのアプリに許可を与えた全ユーザーのデータが危険にさらされます。
なぜ「小規模なAIツール」が危ないのか
大手企業が提供するサービスと比べ、小規模なAIツールはセキュリティ体制が十分でない場合があります。しかし、OAuth連携によって得られるアクセス権限は、ツールの規模に関係なく同じです。つまり、「便利だから」と気軽に連携した小さなツールが、大企業のセキュリティを突破する”鍵”になり得るわけです。
これはいわゆる「サプライチェーン攻撃」の一種と言えます。攻撃者は堅牢な本丸を直接狙うのではなく、防御が手薄な取引先や連携サービスを経由して侵入するのです。AIツールの急速な普及により、こうした連携の数は爆発的に増えています。今回のインシデントは、その「死角」が現実の被害につながった象徴的な事例です。
漏えいした可能性のある情報と影響範囲
Vercelは、「sensitive」として設定されていなかった環境変数に含まれる秘密情報——具体的にはAPIキーやトークン、データベース認証情報、署名鍵など——が漏えいした可能性があるとしています。
環境変数とは、アプリケーションが動作する際に参照する設定値のことで、データベースへの接続情報や外部サービスのAPIキーなど、極めて機密性の高い情報が含まれることが多いものです。もしこれらが第三者の手に渡れば、そのサービスのデータベースに不正アクセスされたり、APIを悪用されたりするリスクがあります。
Vercelは影響範囲を「限定的」としていますが、開発者にとって環境変数の漏えいは極めて深刻です。1つのAPIキーが漏れるだけで、そのキーに紐づくサービス全体が危険にさらされる可能性があるためです。なお、Vercel公式はNext.jsやTurbopackなどのOSSへの影響はないと明言しています。
Vercelユーザーが今すぐやるべき対策
Vercelは利用者向けに具体的な対応策を公開しています。開発者として把握しておくべき内容を整理します。
環境変数とアクセス権限の緊急点検
まず、アカウントや環境のアクティビティログを確認し、不審な操作がないか調べることが推奨されています。加えて、「sensitive」として設定されていなかった秘密情報を含む環境変数を優先的に変更し、今後は機密の環境変数を読み出せない形で保護する機能を活用するよう勧められています。
デプロイとトークンの見直し
最近のデプロイ履歴に不審なものがないか確認し、必要に応じて削除すること。Deployment Protectionを少なくとも「Standard」に設定すること。そして関連トークンのローテーション(定期的な変更)を行うことも求められています。
Google Workspace管理者は即座にOAuthアプリを確認
Google Workspace管理者やGoogleアカウント所有者に対しては、問題のOAuthアプリが使われていないか即座に確認するよう促されています。調査支援のためにIOC(侵害指標)として、OAuthアプリの識別子「110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com」も公開されています。Google Workspace管理コンソールの「セキュリティ」→「APIの制御」から、このクライアントIDが登録されていないか確認できます。
まとめ
今回の事件はVercelユーザーだけの問題ではありません。GoogleアカウントやMicrosoftアカウントにOAuth連携しているツールは、多くの人が想像以上に増えているものです。以下の3つのアクションを、ぜひこの機会に実行してください。
1. Googleアカウントの「サードパーティアクセス」を今すぐ確認する
Googleアカウントの設定画面から「セキュリティ」→「サードパーティ アプリとサービス」に進むと、現在アクセス権限を持つアプリ一覧が表示されます。見覚えのないもの、もう使っていないものがあれば削除しましょう。
2.「便利そうだから」で安易にOAuth連携しない
新しいAIツールを試すとき、「Googleでログイン」は手軽ですが、どんな権限を求められているか必ず確認してください。カレンダーの閲覧だけでなく、メールの読み取りやドライブへのアクセスまで求めるツールには慎重になるべきです。
3. 環境変数やAPIキーは「漏れる前提」で管理する
開発者の方は、環境変数に保存した秘密情報を定期的にローテーションする運用を習慣にしてください。Vercelの「sensitive」設定のように、プラットフォーム側が提供する保護機能は積極的に活用すべきです。
AIツールの進化は目覚ましく、業務効率を大きく改善してくれる存在です。しかし、その「連携の手軽さ」は、同時にセキュリティの穴を広げる行為でもあります。今回のインシデントが示したように、攻撃者が狙うのはもはや本丸のシステムではなく、そこへ繋がる「信頼された連携の糸口」です。便利さと安全のバランスを意識することが、これからの時代に欠かせないリテラシーになりそうです。
出典:Vercel 参考:BleepingComputer、TechCrunch、OX Security、Trend Micro
