クラウドアプリのホスティングサービスを手がけるアメリカの大手企業「Vercel(バーセル)」は、社内のシステムに不正アクセスがあり、顧客のデータが窃取されたと発表しました。
Vercelが発表した声明によりますと、今回の不正アクセスは、AIモデルの評価などを手がける別のソフトウェア企業「Context AI」のシステムが起点となったということです。Vercelの従業員がContext AIのアプリをダウンロードし、自社のGoogleアカウントと連携させたところ、ハッカーがこの接続機能(OAuth)を悪用しました。これにより従業員のアカウントが乗っ取られ、暗号化されていない認証情報などを含むVercelの内部システムにアクセスされたとしています。
一方、ウェブやアプリの開発者に広く利用されているオープンソースプロジェクトの「Next.js」や「Turbopack」には影響はなかったとしています。
Vercelは、アプリのデータや暗号鍵などが流出した可能性のある顧客に対して、すでに連絡を行ったということです。また、同社のギレルモ・ラウチCEOはSNSを通じて、念のため「機密ではない」と設定されている認証情報なども変更するよう顧客に呼びかけています。
今回の不正アクセスを実行したハッカーの正体は明らかになっていません。サイバー犯罪のフォーラムでは、ハッカー集団「ShinyHunters」を名乗る人物が、Vercelから盗んだ顧客のAPIキーやソースコード、データベースへのアクセス権を販売すると主張しています。しかし、サイバーセキュリティー専門メディアの報道によりますと、「ShinyHunters」側は今回の事件への関与を否定しているということです。
近年、広く利用されているソフトウェアを標的とし、そこから複数の企業やシステムへと被害を広げる「サプライチェーン攻撃」が相次いでおり、セキュリティー上の大きな課題となっています。
Vercelは現在、事件の調査を進めるとともに、Context AIに対して詳しい説明を求めているとしています。また、今回の被害は自社のシステムにとどまらず、多くの組織の数百人のユーザーに影響を及ぼすおそれがあり、IT業界全体に被害が波及する可能性があると警告しています。
一方、Context AIは自社のウェブサイト上で、今年3月に一般向けのアプリに関連する不正アクセスがあったことを認めました。当初は1人の顧客にのみ被害を通知していましたが、Vercelの事件を受けて、ハッカーが一部のユーザーの認証情報を侵害した可能性があり、影響が当初の想定より広範囲に及んでいるとの見方を示しています。
Context AIは今回の事件に関するメディアからの質問には応じておらず、当時被害を公表しなかった理由や、ハッカーからの身代金要求の有無などは明らかになっていません。Vercelも、影響を受ける顧客の規模などについての詳細な回答を控えているということです。