SJ blog
security
A

信頼度ランク

S 公式ソース確認済み
A 成功実績多数・失敗例少数
B 賛否両論
C 動作未確認・セキュリティリスク高
Z 個人所感

VercelがAIツール経由でサプライチェーン攻撃を受けた——Context.ai OAuth侵害の全貌と開発者がすべき対策

VercelがContext.aiのOAuth侵害を起点としたサプライチェーン攻撃を受け、顧客の環境変数が漏洩。AIツールへのOAuth過剰付与が招いた事故の構造と実践的な対策を解説。

#security #supply-chain #vercel #oauth #cloud #devops

一言結論

VercelのAI分析ツールContext.aiへのOAuth過剰付与が起点となり、Lumma StealerによるContext.ai社員の端末侵害からVercel内部へのアクセスに繋がった。AIツールへのOAuth権限は最小化し、環境変数は機密度に関わらず暗号化すべき事例だ。

何が起きたのか

2026年4月19〜20日、VercelのCEO Guillermo Rauchが直接声明を出し、同社が第三者製AIツール Context.ai の侵害を起点とするサプライチェーン攻撃を受け、一部顧客の環境変数が漏洩したことを公表した。

攻撃の発端は2026年2月に遡る。Context.aiの社員がLumma Stealer(情報窃取型マルウェア)に感染し、認証情報が盗まれた。この社員はRobloxの「auto-farm」スクリプトをダウンロードした際にマルウェアが侵入したとみられている。

攻撃チェーンの全体像:

  [Context.ai社員がRoblox exploit経由でLumma Stealerに感染](2026年2月)

  [Context.ai社の認証情報・OAuthトークンが盗取される]

  [Vercel社員がContext.aiに付与していたGoogleドライブ読み取り権限を悪用]

  [Vercel内部システムへのアクセスに成功]

  [一部顧客プロジェクトの環境変数が漏洩]

  [攻撃者がBreachForumsに$2Mで売り出し](2026年4月)

何が漏洩し、何が無事だったか

Vercelと関係機関(GitHub・Microsoft・npm・Socket)の共同調査で以下が確認されている。

漏洩した可能性があるもの:
  ⚠ 一部顧客プロジェクトの環境変数
    (「非機密」扱いのため暗号化されていなかった変数を含む)

漏洩していないもの:
  ✅ Vercelが公開しているnpmパッケージ(改ざんなし)
  ✅ ソースコード・デプロイパイプライン
  ✅ 顧客のGitリポジトリ本体

重要な教訓は、Vercelが「非機密」と分類していた環境変数が暗号化されずに保存されていたことだ。攻撃者は内部アクセスを得ると、これらの「低リスク」変数まで平文で読み取れた。

開発者が今すぐ取るべきアクション

1. 環境変数を全件ローテーションする

Vercelプロジェクトを使っている場合、攻撃対象期間に存在していた環境変数はすべて差し替える。

# Vercel CLIで現在の環境変数を確認
vercel env ls

# 削除して再設定
vercel env rm DATABASE_URL production
vercel env add DATABASE_URL production

2. AIツールへのOAuth付与を棚卸しする

Context.ai以外にも、Google DriveやGitHubへのアクセスを持つSaaS AIツールは多い。今すぐ確認すること。

Google OAuth確認:
  https://myaccount.google.com/permissions

GitHub OAuth Apps確認:
  https://github.com/settings/applications

見直し対象の例:
  - Context.ai
  - Sourcegraph Cody
  - Linear AI
  - Notion AI連携
  - その他 "Google Drive: 全体の読み書き" を持つツール

3. 最小権限の原則を徹底する

❌ 悪い例:
  AIツールに「Google Drive: すべてのファイルの読み書き」を付与
  → 1件の侵害でワークスペース全体にアクセスされる

✅ 良い例:
  専用の作業用共有ドライブを作成し、そのフォルダのみアクセスを付与
  → 侵害されても影響範囲が限定される

なぜこれが「AIツール時代の新しいリスク」なのか

従来のサプライチェーン攻撃はnpmパッケージや依存ライブラリが標的だった。しかしAI統合ツールはユーザーが「便利だから」と広範なOAuth権限を付与しがちで、かつそのツール自体のセキュリティ成熟度はコアインフラ企業より低いことが多い。

Vercelは世界中の開発者が使う主要ホスティングプラットフォームであり、顧客の環境変数にはデータベース接続文字列・APIキー・シークレットが含まれる。「便利なAIツール1本」の侵害が連鎖的に広がるこの構造は、今後さらに多くの事例で繰り返される可能性が高い。

注意点・未確認情報

  • 影響を受けた顧客プロジェクトの具体的な件数はVercelが非公開
  • 攻撃の最初の侵入時期について「2024年6月から」とする報告もあるが詳細は調査中
  • $2Mの身代金要求はBreachForumsへの投稿として確認されているが、Vercelは身代金支払いについてコメントしていない

まとめ

  • Vercelはサードパーティ製AIツールContext.aiの侵害を起点として内部侵入を受けた
  • OAuth権限の過剰付与が攻撃面を広げた根本原因
  • 「非機密」扱いの環境変数でも暗号化が必須
  • 今すぐ:Vercel環境変数のローテーション+AIツールのOAuth権限棚卸し

参考リンク