Vercelセキュリティ侵害でDeFiアプリが機能停止、200万ドルの身代金要求が発生

暗号資産（暗号資産）業界のフロントエンドを支えるクラウドサービス「Vercel」が、社内システムへの不正アクセスを受けたことが明らかになった。これにより、DeFi（分散型金融）アプリケーションのフロントエンドが悪意のあるコードに侵害されるリスクが生じ、ユーザーに対して数日間の取引停止が呼びかけられている。

VercelのCEO、Guillermo Rauch氏によると、攻撃は同社の従業員が利用していたAIプラットフォーム「Context.ai」の顧客情報漏洩を起点に発生した。攻撃者は、その従業員のGoogle Workspaceアカウントを経由してVercelの社内環境に侵入したという。

攻撃グループは「ShinyHunters」を名乗る脅迫集団で、GitHubトークンを含む内部データを公開し、200万ドルの身代金を要求している。BreachForums上で確認されたこの脅迫文書には、従業員アカウント、内部デプロイメント、APIキー、GitHubトークンなどが含まれていた。

DeFi業界に深刻な影響を与えるリスク

VercelはNext.jsの開発元であり、暗号資産業界の多くのユーザー向けプラットフォームが同社のサービスを利用している。悪意のあるNext.jsパッケージを介してウェブサイトにアクセスしたユーザーは、知らずに攻撃者のウォレットにトランザクションを署名してしまう可能性がある。

Vercelは4月19日にセキュリティ速報を発表し、「特定の社内システムへの不正アクセスを確認した」と明らかにした。また、法執行機関と協力して調査を進めているとしている。同社はセキュリティ速報を更新し、ユーザーに対してセキュリティ対策のベストプラクティスを提供している（https://t.co/u8ImZikeZl）。

コミュニティからの警告と代替手段の提案

暗号資産コミュニティの関係者からは、「DeFiアプリとのやり取りを直ちに停止すべき」との強い警告が出されている。Cork ProtocolのCTOで、かつてDeFiセキュリティ企業NeftureのCTOを務めた「Pybast」氏は、X（旧Twitter）上で「多くのDeFiアプリがVercel上でホストされているため、暗号資産ユーザーは攻撃の標的になりやすい」と指摘した。皮肉にも、同氏は同じ日に独自のセキュリティインシデントが発生したeth.limoを代替手段として提案している。

Next.jsの普及と影響範囲

Rauch氏によると、Next.jsは2025年に5億2000万回以上ダウンロードされており、DeFiダッシュボード、暗号資産ウォレットの接続ツール、トークンローンチパッドなどで広く利用されている。攻撃者がVercelの認証情報を悪用して悪意のあるコードを多数のプロジェクトに配布する可能性が懸念されている。

Vercelは、影響を受けたのは「ごく一部の顧客」に限定されており、サービスは引き続き稼働していると主張している。同社はGoogleのインシデント対応部門であるMandiantの支援を受けている。

脅迫文書の真偽と今後の対応

セキュリティメディア「BleepingComputer」が公開した脅迫文書のスクリーンショットには、従業員アカウント、内部デプロイメント、APIキー、GitHubトークンなどが含まれていた。また、Vercelの内部Linear（プロジェクト管理ツール）の画面や、企業向けダッシュボードと思われる画像も添付されていたが、その真偽は確認されていない。

興味深いことに、実際のShinyHunters脅迫集団を名乗る攻撃者らは、この事件とは無関係であるとBleepingComputerに語っている。

今後の展望とユーザーへの注意喚起

暗号資産業界では、Vercelのセキュリティ侵害を受けて、DeFiアプリの安全性に対する懸念が高まっている。ユーザーは、公式の発表やセキュリティアップデートがない限り、DeFiアプリとのやり取りを控えることが推奨される。また、サードパーティのセキュリティツールや代替プラットフォームの利用も検討すべきだ。

Vercelは引き続き調査を進めており、新たな情報が判明次第、公表するとしている。