サプライチェーンの脆弱性が主要なWebプラットフォームを直撃した

Vercelは、Context AIのソフトウェアに関連するOAuth接続を通じて従業員アカウントが侵害され、社内システムが破られ、顧客データにアクセスされたと明らかにした。同社によると、攻撃者はこの接続を使ってVercel従業員のGoogleホストの企業アカウントを乗っ取り、その後、いくつかの内部システムへ移動し、そこには一部の認証情報が暗号化されないまま保存されていたという。

この事案の重要性は、単一のベンダーにとどまらない。Vercelは現代のWebインフラの深部に位置しており、そのホスティングサービス、開発者向けツール、デプロイワークフローは多くのソフトウェアチームに利用されている。こうした立場にあるプラットフォームが侵害されれば、リスクは最初の被害者で止まらない。顧客環境、共有された認証情報、そしてそれらのシステムに依存するソフトウェアのサプライチェーン全体へと広がる。

Vercelが影響を受けたとする内容

同社によると、顧客のアプリデータとキーが流出した情報に含まれていた。Vercelは影響を受けた顧客に連絡しており、CEOのGuillermo Rauch氏は、アプリのデプロイメントにおいて非機密として扱われているキーや認証情報はすべてローテーションするよう利用者に助言した。同社はまた、この侵害は広く使われているオープンソースプロジェクトであるNext.jsやTurbopackには影響しなかったと述べている。

報道によれば、攻撃者は機密性の高い顧客認証情報を盗み、オンラインで販売すると主張している。TechCrunchが確認した脅威アクターの掲載情報では、顧客のAPIキー、ソースコード、データベース情報が含まれていたという。そのアクターはShinyHuntersグループとの関連を主張したが、報道で引用された別媒体に対しShinyHuntersは関与を否定している。

より大きな警告はOAuthの問題にある

ここまでに公表された技術的詳細は、よく知られていながらもなお十分に管理されていないリスク、つまり信頼された統合を示している。OAuthは、利用者がパスワードを直接共有せずにサービスを接続できるように設計されているが、その一方で委任されたアクセスの連鎖も生み出す。もしその連鎖のどこか1つのアプリが侵害されれば、影響範囲は、本来は露出するはずのなかった重要業務システムにまで及び得る。

Vercelによると、この侵害は利用者がサードパーティーアプリケーション間でワークフローを自動化できるContext AIの消費者向けOffice Suiteアプリに起因している。Context AIは3月にそのアプリに関する侵害を認め、当時は1社の顧客に通知したとしている。Vercelの開示を踏まえると、この事案は当初理解されていたよりも広範だったようだ。

この一連の流れこそが、この出来事を注目に値するものにしている。Vercelの旗艦製品に対する直接侵入とは説明されていない。むしろ、従業員が連携アプリを使ったことから始まり、アカウント乗っ取りを経て内部アクセスへとエスカレートし、機密情報が露出したように見える。SaaSエコシステムがますます複雑に絡み合う中で、セキュリティチームがまさに懸念する間接的な経路そのものだ。

なぜ被害がさらに広がる可能性があるのか

Vercelは、この事案が同社自身の環境だけでなく、多数の組織にまたがる数百人の利用者へ影響を及ぼす可能性があると警告した。この表現は、流出したキーやアプリデータが顧客システムへの侵入口になり得るという、下流での侵害への懸念を示している。Vercel経由で本番アプリをデプロイしている企業にとって、直ちに問われるのはVercelが何を失ったかだけではなく、そのアクセスが他のどこで何を可能にしたのかだ。

より広い教訓は、現代のクラウドセキュリティが境界防御だけでなく、依存関係の管理にますます左右されるということだ。企業は自社システムを堅牢化しても、従業員が接続するアプリ、それらのアプリが依存するベンダー、そしてそれらのリンクをまたいで移動する認証情報からリスクを引き継ぐことがある。この侵害は、ソフトウェアサプライチェーン攻撃がもはや汚染されたパッケージや侵害された更新に限定されないことを改めて示している。OAuthやワークフロー自動化も、同等に危険な経路になり得る。

Vercelは現在も調査を続けており、Context AIに回答を求めているという。より詳細な技術情報が明らかになるまで、利用者にできる現実的な対応は、キーのローテーション、連携アプリの見直し、そして利便性の高い統合を無害な生産性レイヤーではなく攻撃対象領域の一部として扱うことだ。

この記事はTechCrunchの報道に基づいています。元の記事を読む

Originally published on techcrunch.com