クラウドホスティングプラットフォームのVercel(バーセル)において、内部システムへの不正アクセスが発生しました。この事態を受け、同プラットフォームを利用してフロントエンドを構築している多くの暗号資産(仮想通貨)プロジェクトで、APIキーなどの機密情報が漏洩するリスクが浮上しています。Vercelは一部の顧客に影響が出たことを認めており、利用者に対して環境変数の確認と更新を急ぐよう呼びかけています。
不正アクセスの概要とデータ流出の疑い
2026年4月19日、Vercelは自社の内部システムに対する不正アクセスを確認したことを公表しました。同社の発表によると、攻撃者は特定の内部システムにアクセスし、限定的な数の顧客に影響を与えたとされています。Vercelはすでにインシデント対応の専門家を雇用し、法執行機関への通知も行っています。
一方で、サイバー犯罪フォーラムの「BreachForums」では、ShinyHunters(シャイニーハンターズ)と名乗る人物が、Vercelの内部データとされる情報を200万ドル(約3億円)で販売すると投稿しています。このデータには、ソースコード、従業員アカウント、APIキー(外部サービスと連携するための認証鍵)、NPMトークン、GitHubトークンのほか、プロジェクト管理ツールであるLinear(リニア)やユーザー管理システムの内部情報が含まれている可能性があるとされています。
ユーザーへの影響と推奨される対策
今回の侵害において、Vercel上の開発環境で設定される「環境変数(プログラムの動作に必要な設定値や機密情報)」の扱いが焦点となっています。
Vercelの公式声明および専門家の分析によると、プラットフォーム上で「Sensitive(機密)」としてマークされていた環境変数は保護されており、今回の攻撃でも安全が保たれているとされています。しかし、「Sensitive」としてマークされていない環境変数については、漏洩の可能性があるため予防措置としてローテーション(新しい値への更新)を行うことが強く推奨されています。
特に、以下のツールとの統合機能が攻撃の主な対象となった可能性が指摘されています。
- GitHub(ソースコード管理プラットフォーム)
- Linear(プロジェクト管理ツール)
Web3業界における重要性とリスク
Vercelは、その利便性の高さから、ウォレットコネクターや分散型アプリケーション(dApp)のインターフェースなど、多くのWeb3プロジェクトのフロントエンド(ユーザーが直接操作する画面)のホスティングに利用されています。
Web3プロジェクトにとって、フロントエンドのセキュリティは資産の安全に直結します。もしプロジェクトがAPIキーやプライベートなRPCエンドポイント(ブロックチェーンネットワークと通信するための接続先)、あるいはウォレット関連の秘密情報を「Sensitive」設定にせずに保存していた場合、それらが攻撃者に渡る可能性があります。これにより、フロントエンドが改ざんされたり、ユーザーの資産が不正に引き出されたりする二次被害に発展する恐れがあるため、業界全体で警戒が高まっています。
ポイント
- Vercelの内部システムに不正アクセスが発生し、一部の顧客データが漏洩した可能性があります。
- 攻撃者はGitHubやLinearの統合機能を標的にしたと見られ、内部データが闇サイトで販売されているとの情報もあります。
- 「Sensitive」設定をしていない環境変数は漏洩のリスクがあるため、即時の確認と更新が推奨されます。
- 多くのWeb3プロジェクトがVercelを利用しているため、dAppのフロントエンドの安全性を確保する観点から極めて重要な事案です。
- Vercelは法執行機関と協力し、影響範囲の特定と調査を継続しています。