Vercelが侵害された。原因は、社員が使っていたAIツールだった

2026年4月20日、Vercelがセキュリティ速報を公開した。内部システムの一部に不正アクセスがあり、限定的ながら顧客のクレデンシャルが影響を受けたという内容だ。

原因はVercelのコードや基盤の脆弱性ではない。社員がインストールした、サードパーティのAIツールだった。

何が起きたのか

攻撃の起点になったのはContext.aiという、AIモデルの評価・分析を行うスタートアップが提供する「AI Office Suite」というアプリだ。Vercelの従業員がこのアプリを業務用のGoogleアカウントに接続し、「Allow All」の権限を付与していた。

Context.ai自体が2026年3月にAWS環境への不正アクセスを受けており、その過程でOAuthトークンも侵害されていたことが後に判明する。攻撃者はこのOAuth接続を利用してVercel従業員のGoogle Workspaceアカウントを乗っ取り、そこからVercelの内部環境にアクセスした。

つまり、AIツール → OAuth → 従業員アカウント → 社内システムという多段階の経路だ。

漏洩の範囲

Vercelによれば、アクセスされたのは「sensitive」マークが付いていない環境変数の一部。「sensitive」に指定された環境変数は暗号化されており、現時点ではアクセスされた形跡はないとしている。

一方、BreachForumsにはShinyHuntersを名乗る人物がVercelの顧客データを200万ドル（約3億円）で売り出す投稿が出現した。ただしShinyHunters側はBleepingComputerの取材に対し「自分たちは関与していない」と否定している。

影響を受けた顧客にはVercelから直接連絡が行われており、「sensitiveではない環境変数に保存されたシークレットは漏洩した可能性がある」として、クレデンシャルのローテーションを最優先で行うよう求めている。

「AIツール経由の侵入」は新しい攻撃面

今回の事案で注目すべきは、侵害の入口がフィッシングメールでもVPN脆弱性でもなく、従業員が業務効率化のために入れたAIアプリだったという点だ。

OAuthでGoogleアカウントに接続するAIツールは急増している。コード補完、会議要約、メール分析、ドキュメント整理——便利なものほど広い権限を求める。そしてそのツール側が侵害されれば、付与された権限がそのまま攻撃者の手に渡る。

正直に言えば、この種のリスクは以前から指摘されていた。だが「AIツールのOAuthが実際にサプライチェーン攻撃のベクターになった」事例としてここまで大規模なものは珍しい。

開発者が確認すべきこと

Vercelを利用している開発者は、以下を確認しておきたい。

• 非sensitiveの環境変数を点検する。 APIキーやデータベース接続文字列をsensitiveマークなしで保存していた場合、ローテーションが必要
• Vercelダッシュボードのアクティビティログを確認する。 不審なデプロイや設定変更がないかチェック
• Google Workspaceに接続しているサードパーティアプリを棚卸しする。 不要なOAuth接続は解除する

環境変数のsensitiveフラグはVercelのダッシュボードから設定できる。まだ使っていないなら、これを機に全プロジェクトで設定を見直す価値がある。

見えてきたもの

AIツールが業務に浸透するスピードは速い。だがそのぶん、「どのツールにどの権限を与えたか」の管理は追いつかない。個人の判断で入れたAIアプリが、組織全体のセキュリティホールになる。

VercelのCEO Guillermo Rauchは速報の中で迅速な対応を約束しているが、根本的な問題は技術的な修正だけでは解決しない。AIツールの導入プロセスにセキュリティレビューを組み込む仕組みが、組織レベルで必要になっている。

それは開発チームにとっても他人事ではない。自分のGoogle Workspaceに接続しているアプリの一覧を、最後に確認したのはいつだろうか。