概要
- クラウドプラットフォームVercelが、一部の顧客の認証情報が漏洩したセキュリティーインシデントの詳細を公開しました。
- 同社のCEOであるGuillermo Rauchは、攻撃グループが「非常に高度」であり、AIツールを使用した可能性が高いことを明らかにしました。
- 多くの暗号資産フロントエンドがVercelを使用してUIをホストしており、同社は認証情報の即時ローテーションを推奨しています。
VercelのCEOは、内部システムの侵害に続いて一部の顧客認証情報が漏洩した最近のセキュリティーインシデントの背後に、「非常に高度な」、AI支援の可能性があるハッキンググループがいたと述べました。
「攻撃グループは非常に高度であり、AIによって大幅に加速されたと強く疑っています」とCEOのGuillermo Rauchはツイートし、攻撃者が「驚くべき速度とVercelに対する深い理解をもって行動した」と付け加えました。
開発者向けクラウドプラットフォームである同社は、日曜日に特定の内部システムへの不正アクセスを確認し、積極的に調査していると発表しました。このインシデントは、認証情報が漏洩した限定的な顧客のサブセットに影響を与え、同社は認証情報の即時ローテーションを推奨しました。
侵害は、Vercelの従業員が使用していた第三者AIツールであるContext.aiの侵害に端を発し、攻撃者が従業員のGoogle Workspaceアカウントを乗っ取り、一部のVercel環境と機密性の低い環境変数にアクセスすることを可能にしました。
この公開は、攻撃者が組織内での足がかりを得るためにサプライチェーンの脆弱性をますます悪用する中、第三者統合とAI駆動ツールがもたらすセキュリティリスクに対する懸念の高まりを浮き彫りにしています。
Vercelと暗号資産
CertiKのシニアブロックチェーンセキュリティ研究者であるNatalie Newsonは、Decryptに対し、このイベントが特に暗号資産開発者の間で緊急性を引き起こしたと語りました。「多くの暗号資産フロントエンドがVercelを使用してUIをホストしているため、侵害により攻撃者がウォレットドレイナーを埋め込むことができます。信頼されたページとやり取りしているユーザーは、悪意のあることが起こるとは予想していません」と彼女は述べ、「暗号資産分野での攻撃は、多大な金銭的損失につながる可能性があります」と付け加えました。
スマートコントラクトが安全なままであっても、フロントエンドの侵害はリスクをもたらします。「フロントエンドの侵害は、エンドユーザーにとって特に損害を与える可能性があります」と彼女は指摘し、4月のCoW Swapインシデントでは、あるユーザーのウォレットから31万6,000ドルが流出したことを挙げました。
彼女は、エージェント型AIの台頭により、多くのユーザーが生産性を向上させるために最新のアプリや拡張機能を投稿しており、悪意のある行為者がこのトレンドを利用していると述べました。「企業は、新しいAIアプリや拡張機能を利用する際には特に注意し、内部セキュリティモデルを見直して、侵害が発生した場合でも影響をできるだけ限定的に抑えるようにする必要があります」と彼女は述べました。
Rauchは、攻撃は侵害された従業員アカウントから始まり、内部環境へのより広範なアクセスにエスカレートした「一連の作戦」を通じて展開されたと述べました。Vercelは顧客の環境変数を暗号化して保存していますが、一部の変数を機密性の低いものとしてマークすることを許可しており、攻撃者はこれらにアクセスできました。
同社は、影響を受けた顧客の数は限定的であると考えており、潜在的に影響を受けた顧客に優先的に連絡したと述べました。Vercelはその後、追加の監視と保護対策を展開し、Next.jsやTurbopackなどのプロジェクトの安全性を確保するためにサプライチェーンを見直しています。
NillionのCEOであるJohn Woodsは、Decryptに対し、「限定的なサブセット」は通常、観察された影響を受けた顧客セットがこれまでのところ限定的に見えることを意味しますが、必ずしもより広範な内部移動やより広い下流リスクを排除するものではないと語りました。「最新のクラウドプラットフォームでは、爆発半径は最初に何人の顧客が目に見えて影響を受けたかだけでなく、侵害されたシステムが舞台裏で何に到達できるかについても関係します」とWoodsは述べました。
彼は、企業がこの種の状況を回避するために、さまざまなベストプラクティスに従うことを推奨しました。「OAuth付与をロックダウンし、最小特権を使用し、機密性の高い環境変数に関する厳格な制御を実施し、フロントエンドの展開を秘密または署名権限から分離し、展開とログを綿密に監視してください」と彼は述べました。
「認証情報が盗まれた可能性のある人にとって、即座の優先事項は、アクセスを取り消し、認証情報をローテーションし、それらの認証情報が到達できるすべてのシステムを確認することです」と彼は付け加え、「より高いレベルでは、1つの侵害があまりにも多くに到達できるアーキテクチャを避けることが教訓です」と指摘しました。
攻撃の背後にいるのが誰かはまだ明らかではありません。ハッキンググループ「ShinyHunters」の名前を持つユーザーのスクリーンショットが浮上し、フォーラムでVercelを侵害し、ソースコード、APIキー、内部システムを含む企業データへのアクセスを販売していると主張しています。
ShinyHuntersになりすましている可能性もあるこの行為者は、同社と200万ドルの身代金要求について話し合ったとも主張しました。Vercelは、これらの主張を確認する要請に即座に応答しませんでした。
Daily Debrief Newsletter
毎日、今最も重要なニュース記事に加えて、オリジナル記事、ポッドキャスト、動画などをお届けします。
出典: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
