クラウド基盤Vercelへの不正アクセス、仮想通貨プロジェクトに影響

クラウド開発プラットフォームのVercelは、2024年4月19日に内部システムへの不正アクセスがあったことを発表しました。不正アクセスの原因は、Vercel社内で使用されていた小規模な第三者製AIツールが、Googleアカウントと連携するOAuthの仕組みを悪用され、外部から攻撃を受けたためです。このAIツールは数百の組織で利用されていたとされており、Vercel以外の組織にも被害が及んでいる可能性があります。攻撃者はハッカーフォーラム上でVercelの内部データベース、従業員アカウント、ソースコード、APIキー、GitHubトークンなどを販売していると主張しています。Vercelは多くの仮想通貨・DeFiプロジェクトのフロントエンド（ユーザーインターフェース）をホスティングしており、これらのプロジェクトのAPIキーやブロックチェーン接続情報などの認証情報が漏洩した可能性が懸念されています。これにより、ユーザーへの偽画面表示や外部サービスへの不正アクセスといったリスクが理論上発生する可能性があります。ソラナ上の流動性プロトコルであるOrcaは、予防措置として認証情報を更新したと発表しました。VercelのCEOは、Next.jsおよび関連開発ツールへの影響はないことを確認しています。

本記事は海外のクラウド開発プラットフォームであるVercelへの不正アクセスを扱っており、日本市場への直接的な言及はありません。しかし、Vercelは多くのWeb3プロジェクトのフロントエンドをホスティングしているため、日本国内の仮想通貨やDeFiプロジェクトもVercelを利用している場合、認証情報の漏洩やフロントエンドの改ざんといったサイバーセキュリティリスクに直面する可能性があります。今回の事案は、開発現場で利用されるAIツールや外部サービス連携におけるセキュリティ対策の重要性を改めて示しており、日本国内の企業やプロジェクトにおいても、サプライチェーン全体でのセキュリティ強化が求められます。