Vercel クラウドセキュリティ マルウェア ロブロックス AI脅威 セキュリティ侵害 OAuth 情報漏洩 Lumma Stealer ShinyHunters

Vercel顧客の資格情報が侵害される

米国時間3月10日、Vercelはセキュリティ速報を発表し、同社顧客の資格情報や機密データが侵害された可能性があると明らかにした。攻撃は同社の内部システムを経由して行われ、外部からの侵入に成功した。

攻撃の起点はロブロックスのチート検索

セキュリティ調査会社Hudson Rockによると、攻撃の発端は2月にさかのぼる。Context.aiの従業員がロブロックスのゲーム攻略情報を検索した際、Lumma Stealerと呼ばれる情報窃取マルウェアに感染したことが判明した。

ロブロックスのチートツール検索は、情報窃取マルウェアの一般的な感染経路として知られている。

第三者システムを経由した攻撃の連鎖

感染した従業員の端末から、攻撃者はContext.aiのAWS環境に侵入。さらに同社のOAuthトークンを奪取し、Vercelの従業員が使用していたGoogle Workspaceアカウントへのアクセスを取得した。

VercelはContext.aiの顧客ではないが、同従業員はContext AI Office Suiteを使用しており、フルアクセス権を付与していた。

Vercelによる被害の詳細

Vercelは声明で、「攻撃者は従業員のGoogle Workspaceアカウントを乗っ取り、Vercelの環境や環境変数にアクセスした。これらの変数の一部は機密としてマークされていなかった」と説明した。

同社は影響を受けた顧客に対し、資格情報の即時ローテーションを推奨。ただし、具体的にどのシステムが侵害されたかや、顧客資格情報へのアクセス方法については明らかにしていない。

Vercel CEOの見解

VercelのCEO、Guillermo Rauch氏はX(旧Twitter)で、「顧客データは暗号化されているが、攻撃者は変数の列挙(特定の変数のカウントと在庫確認)を通じてさらなるアクセスを得た」と述べた。

また、「攻撃グループは高度な技術を持ち、AIによって加速された可能性が高い。彼らはVercelの内部構造を深く理解していた」と指摘した。

攻撃グループ「ShinyHunters」が犯行声明

Telegram上で、攻撃グループを名乗る「ShinyHunters」が犯行声明を発表。アクセスキー、ソースコード、データベースなどの盗難データを販売しようとしていると主張した。

「ShinyHunters」を名乗るグループの主張については、Google Threat Intelligenceの主任脅威アナリスト、Austin Larsen氏がLinkedInで「既知のグループ名を騙り、注目を集めようとしている可能性が高い」と指摘。しかし、「攻撃者の正体にかかわらず、データ流出のリスクは現実のものだ」と警告した。

被害はContext.aiの顧客にも拡大の可能性

Vercelは、Context.aiのGoogle Workspace OAuthアプリが侵害されたことで、同社の数百人規模のユーザーに影響が及ぶ可能性があると発表。同社は侵害の兆候(IoC)を公開し、顧客に対しアクティビティログの確認と機密変数のローテーションを呼びかけた。

VercelとContext.aiは、それぞれ独立した調査を実施中。CrowdStrikeとMandiantが支援を行っている。

クラウド連携のリスク再認識を

この事件は、過剰な権限設定や第三者システムとの連携がもたらすセキュリティリスクを浮き彫りにした。専門家は、クラウドサービス間の連携における権限管理の重要性を改めて指摘している。

出典: CyberScoop
最高裁、ミラベリ判決で親の同意なき児童の性別移行政策を否定。次はフート事件の行方は?
← 前へ

最高裁、ミラベリ判決で親の同意なき児童の性別移行政策を否定。次はフート...

 NVIDIA CEO ジェンスン・フアンが中国向けAIチップ販売を巡り激高、米国の技術主導権を主張
次へ →

NVIDIA CEO ジェンスン・フアンが中国向けAIチップ販売を巡り激高、米国の...