Vercel、社内システムに不正アクセス第三者AIツール経由で従業員Google Workspace乗っ取り

クラウド開発プラットフォームを手掛ける米Vercelは4月19日（米太平洋時間）、社内の一部システムに不正アクセスが発生したと発表した。従業員が業務で用いていた第三者AIツール「Context.ai」の侵害を起点に、攻撃者が同従業員のGoogle Workspaceアカウントを乗っ取り、Vercelの一部環境と環境変数へアクセスしたという。同社はインシデント対応専門企業Mandiantらと連携して調査と封じ込めを進めており、法執行機関にも通報済みだ。

Vercel April 2026 security incident | Vercel Knowledge Baseより引用

3行要約

見出し

1 3行要約
2 わかっていること／わかっていないこと
3 Context.ai経由のサプライチェーン侵害
4 sensitive指定済み環境変数は「アクセス証拠なし」
5 Mandiant投入、法執行機関にも通報
6 タイムライン
7 AIツールのOAuth連携が突く空白

何が起きた：第三者AIツール「Context.ai」のGoogle Workspace OAuthアプリ侵害を起点に、Vercel従業員のGoogle Workspaceアカウントが乗っ取られ、「sensitive」指定のない一部環境変数にアクセスされた。

影響：認証情報が侵害された顧客群は限定的とし、該当顧客には個別に通知のうえ認証情報のローテーションを要請した。サービスは稼働中で、通知を受けていない顧客の認証情報・個人データが侵害された証拠は現時点ないとする。

対応：Mandiantら外部専門企業、業界関係者、法執行機関と連携して調査を進行。OAuthアプリIDをIOCとして公開し、業界全体の検知・調査支援を開始した。Context.aiとも直接やり取りを続けている。

わかっていること／わかっていないこと

わかっていること：侵入の起点は従業員が業務で使っていた第三者AIツール「Context.ai」のGoogle Workspace OAuthアプリ。攻撃者はそこから従業員のGoogle Workspaceアカウントを奪い、Vercel社内環境に横展開した。「sensitive」指定のない環境変数は参照可能な状態にあった。「sensitive」指定済みの環境変数は読み取りを遮断する形式で保管されており、アクセスの証拠はないとされる。Vercelは攻撃者について、作戦の展開速度と同社システムへの深い理解から「高度に洗練された存在」と評価している。

わかっていないこと：データの流出有無と具体的な範囲は調査中。侵入の継続期間、攻撃者の素性、被害の全体像はいずれも現時点で明らかになっていない。Context.aiのOAuthアプリをめぐる基盤侵害の全容についても、Vercelが同社と連携して確認作業を続けている段階だ。

Context.ai経由のサプライチェーン侵害

Vercelの説明によると、今回の侵害は業務で利用されていた小規模な第三者AIツール「Context.ai」のGoogle Workspace OAuthアプリへの攻撃が発端となった。攻撃者は同アプリを経由して従業員のGoogle Workspaceアカウントを乗っ取り、Vercelの社内環境へ踏み込んだ。同社はContext.ai側にも接触し、基盤侵害の全容解明を進めているとしている。

当該OAuthアプリは複数組織にまたがり数百規模のユーザーが利用している可能性があるといい、Vercelにとどまらない広範な影響が懸念される。同社はこのアプリのIDを侵害の痕跡（IOC）として公表し、Google Workspaceの管理者とアカウント所有者に対し、直ちに利用有無を確認するよう呼び掛けた。公開されたOAuthアプリIDは「110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com」。

sensitive指定済み環境変数は「アクセス証拠なし」

Vercelでは環境変数の一部を「sensitive」としてマーク可能にしている。マーク済みの値は読み取りを防ぐ形式で保管されており、同社は現時点でこれらへのアクセスの証拠はないとする。一方、sensitive指定がなかった環境変数については攻撃者が参照できる状態にあった。API鍵、認証トークン、データベース認証情報、署名鍵などをsensitive指定せずに環境変数として保有していた場合、露出した可能性があるとして、同社は最優先での更新を求めている。

顧客向けの推奨事項としては、ダッシュボードまたはCLIによるアクティビティログの点検、環境変数のローテーション、今後のsensitive機能の活用徹底、不審なデプロイメントの調査、Deployment Protectionの「Standard」以上への設定、Deployment Protectionトークンのローテーションを挙げた。

Mandiant投入、法執行機関にも通報

Vercelは調査と封じ込めにあたり、Mandiantをはじめとする複数のサイバーセキュリティ企業、業界関係者、法執行機関と協力している。顧客向けの保護措置と監視も「広範に展開した」と説明する。今後の調査で追加の侵害が判明した場合は、対象顧客に個別に連絡するとしている。

タイムライン

4月19日午前11時4分（米太平洋時間、日本時間20日午前4時4分ごろ）

VercelがIOCを公表し、コミュニティ全体での検知・調査支援を開始した。

4月19日午後6時1分（米太平洋時間、日本時間20日午前11時1分ごろ）

攻撃の発生源と追加の推奨対応を公表。Context.ai経由の侵害であることを明らかにした。

公表後

Mandiantら外部専門企業、業界関係者、法執行機関と連携のうえ調査を継続。対象顧客への個別通知を進めている。

AIツールのOAuth連携が突く空白

今回の事案は、業務で利用されるサードパーティAIツールが侵入口となり、OAuth連携で得られたGoogle Workspaceへのアクセス権を足がかりに企業境界を越えていく、典型的なサプライチェーン型の侵害といえる。生成AI系SaaSの社内導入が急速に進むなか、管理者が把握しきれない小規模ツールへのOAuth付与が重大な露出点になり得る構造が、改めて浮き彫りとなった。VercelはIOCの即時確認と「sensitive」指定の徹底、OAuthアプリの棚卸しを推奨しており、同種ツールを運用する他組織も対岸の火事とせず点検に動くことが求められる。