Web3開発プラットフォームのVercelは、侵害されたサードパーティ製AIツールを起因とするセキュリティ侵害を確認しました。攻撃者は盗み出した内部データに対し、200万ドルの身代金を要求していると報じられています。
数千の企業向けにフロントエンドアプリケーションのホスティングを提供する同クラウドプロバイダーは、ハッカー集団「ShinyHunters」がデータの一部をオンライン上に公開したことを受け、この事案を公に認めました。Vercelは、影響を受けたのは顧客の「限定的な一部」であると述べていますが、攻撃者はダークウェブのフォーラムで追加データを積極的に販売していると主張しています。
The Vergeのレポートによると、今回の侵害により内部システムおよびVercelが「非機密」と分類していた環境変数が露出しました。クリプトおよびWeb3プロジェクトにおいて、これらの変数にはAPIキー、データベースの認証情報、秘密鍵の断片など、極めて機密性の高いデータが含まれていることがよくあります。セキュリティ専門家は、すべてのVercel顧客に対し、直ちに認証情報を更新し、4月17日から4月19日の間のアクセスログを監査するよう勧告しました。
この侵害は、収益が240%急増したことを受けて新規株式公開(IPO)を準備していたとされるVercelにとって、極めて重要な時期に発生しました。投資家に対して安定性を示すべきタイミングで、同社は防御的な姿勢を強いられることとなり、NetlifyやRenderなどの競合他社はVercelの顧客に接触し、自社プラットフォームをより安全な代替案としてアピールしていると伝えられています。
Vercelの事件は、ソフトウェア開発インフラを標的とした一連の高額なサプライチェーン攻撃の最新事例です。Vercelは侵害されたAIベンダーの名前を公表していませんが、今回の侵害は、サードパーティの統合がいかに従来のセキュリティ境界を回避できる新しい攻撃ベクトルを生み出すかを浮き彫りにしています。
この攻撃は、セキュリティ企業Hackenによると、ハッキングや詐欺によって4億8,200万ドルが失われた2026年第1四半期のデジタル資産分野における悲惨な状況に続くものです。Vercelのニュースは、今年最大級の2つの不正流出事件からわずか数週間後に発表されました。リキッド・リステーキング・プロトコル「Kelp DAO」を襲った2億9,200万ドルのブリッジハッキングと、「Drift Protocol」における2億8,500万ドルの管理権限の侵害です。これらの事件は、攻撃者が単なるオンチェーンのスマートコントラクトではなく、運用層やインフラ層をますます標的にしているという変化を強調しています。
Vercelはユーザー向けアプリケーションをホストするための基礎的なインフラであるため、この侵害は分散型金融(DeFi)およびWeb3エコシステムに不安の波を広げました。複数のクリプトプロジェクトは、Vercelのシステムに保存されているすべての認証情報が侵害された可能性があるという前提で、直ちに露出状況の監査を開始しました。この事件はすでに波及効果を及ぼしており、Aaveレンディングプロトコルは、先日のKelp DAOハッキングの影響を受けたトークンであるrsETHの市場を凍結しました。これは、DeFiインフラ内の相互に関連したリスクを証明しています。
この記事は情報提供のみを目的としており、投資助言を構成するものではありません。
