Vercelは、一部顧客データが漏えいしたと明らかにした。発端は外部AIツール「Context.ai」への侵害で、これを足掛かりに同社従業員のGoogle Workspaceアカウントが不正アクセスを受けたという。SiliconANGLEが4月20日（現地時間）に報じた。

Vercelは19日深夜に事案を公表した。同社はNode.jsを基盤とする開発者向けのWebアプリ開発ツールとクラウドインフラを手掛ける。昨年の評価額は93億ドル（約1兆3950億円）とされていた。

同社のセキュリティ告知によると、今回の侵害は外部製品のContext.aiから始まった。Context.aiは、Google Workspaceなどのサードパーティサービスと連携するAI業務自動化プラットフォーム。攻撃者はContext.aiを侵害した後、その連携を悪用してVercel従業員のGoogle Workspaceアカウントにログインしたとしている。

攻撃者は、不正アクセスしたアカウントを通じて一部顧客の環境変数にアクセスした。環境変数には、データベースのパスワードや暗号鍵などの秘匿情報が含まれる場合がある。

Vercelは、機密性の高い環境変数を保護する機能を提供しているが、今回漏えいしたのはこの機能が有効化されていないデータだったと説明した。該当機能を利用していない顧客に限られるため、影響は限定的である可能性があるとしている。

漏えいしたデータには、数百人規模の従業員情報と複数のAPIキーが含まれるという。APIキーの一部はGitHubリポジトリにひも付いていた。

Vercelの従業員はNode.jsのGitHubリポジトリを管理しているほか、他のオープンソースプロジェクトの保守も担う。このため、オープンソースプロジェクトへのアクセス権が悪用されれば、多数の開発者に影響が及ぶ供給網攻撃につながるリスクがあるとSiliconANGLEは伝えている。

Vercelの最高経営責任者（CEO）、ギエルモ・ラウチ氏はX（旧Twitter）への投稿で、「サプライチェーンを分析した結果、Next.js、Turbopack、複数のオープンソースプロジェクトは安全だ」と説明した。VercelはGoogle Mandiantのサイバーセキュリティサービスを通じて、事案の調査を進めている。

同社は顧客に対し、機微性の低い環境変数の更新と、アクティビティログで不審な挙動がないか確認するよう呼びかけた。あわせて、環境変数をより簡単に管理・監視できるダッシュボードも公開した。