クラウド開発プラットフォームであるVercelのセキュリティdent 、同社が第三者のAIツールを通じて内部システムの一部が攻撃者に侵害されたことを明らかにしたことを受け、暗号通貨業界に警鐘を鳴らしている。.
多くの暗号通貨プロジェクトがユーザーインターフェースのホスティングにVercelを利用しているため、今回の情報漏洩はいかに集中型クラウドインフラストラクチャに依存しているかを浮き彫りにしましたdentこの依存は、見過ごされがちな攻撃対象領域を生み出し、DNS監視などの従来の防御策を回避し、フロントエンドの整合性を直接損なう可能性があります。
Vercelは日曜日、今回の侵入はGoogle WorkspaceのOAuthアプリにリンクされたサードパーティ製のAIツールが原因だったと発表した。同社によると、このツールは複数の組織の数百人のユーザーに影響を与える大規模な侵害dent で侵害されたという。Vercelは、影響を受けた顧客はごく一部であり、サービスは引き続き稼働していることを確認した。.
同社は外部のdent 対応業者を起用し、警察に通報するとともに、データがどのようにアクセスされた可能性があるかについても調査を進めている。.
そのアカウントには、アクセスキー、ソースコード、データベースレコード、およびデプロイdent情報(NPMトークンとGitHubトークン)が記載されていました。しかし、これらはdentして立証された主張ではありません。.
その証拠として、サンプル項目の1つには、従業員名、会社のメールアドレス、アカウントステータス、アクティビティのタイムスタンプを含む約580件の従業員記録と、社内ダッシュボードのスクリーンショットが含まれていました。.
犯人の特定は依然として不明である。報道によると、ShinyHuntersの中核グループに関係する人物は関与を否定している。また、販売者はVercelに連絡を取り、身代金を要求したと述べているが、交渉が行われたかどうかは明らかにしていない。.
攻撃者はVercelを直接攻撃するのではなく、 Google Workspace。このようなサプライチェーンの脆弱性は、明白な脆弱性ではなく、信頼できる統合に依存しているため、特定がより困難でdent。
ソフトウェアコミュニティで知られる開発者のテオ・ブラウン氏によると、相談を受けた人々からは、Vercelの社内におけるLinearとGitHubの統合機能が問題の大部分を占めていたとの指摘があったという。.
彼は、Vercelで機密情報としてマークされた環境変数は保護されているが、フラグが立てられていない他の変数は、同じ運命をたどらないようにローテーションする必要があると指摘した。.
Vercelはこの指示を受けて、顧客に対し環境変数を見直し、プラットフォームの機密変数機能を利用するよう促した。環境変数にはAPIキー、プライベートRPCエンドポイント、デプロイメントdent情報などの機密情報が含まれていることが多いため、このような情報漏洩は特に懸念される。.
これらの値が侵害された場合、攻撃者はビルドを改変したり、悪意のあるコードを注入したり、接続されたサービスにアクセスしてより広範な悪用を行うことができる可能性があります。.
DNSレコードやドメインレジストラを標的とする一般的な侵害とは異なり、ホスティング層における侵害はビルドパイプラインレベルで発生します。そのため、攻撃者は単に訪問者をリダイレクトするのではなく、ユーザーに配信される実際のフロントエンドを侵害することが可能になります。.
一部のプロジェクトでは、ウォレット関連サービス、分析プロバイダー、インフラストラクチャエンドポイントなど、機密性の高い設定データを環境変数に保存しています。これらの値にアクセスされた場合、チームはそれらが侵害されたと想定し、ローテーションを行う必要があるかもしれません。.
フロントエンド攻撃は、暗号通貨業界では以前から繰り返し発生する課題となっています。最近のdentジャック事件では、ユーザーがウォレットから資金を抜き取ることを目的とした悪意のあるクローンサイトにリダイレクトされる事態が発生しています。しかし、こうした攻撃は通常、DNSまたはレジストラレベルで行われます。これらの変更は、監視ツールを使えば迅速に検出できる場合が多いのです。.
ホスティング層での侵害は、これとは異なります。攻撃者はユーザーを偽サイトに誘導するのではなく、実際のフロントエンドを改変します。ユーザーは悪意のあるコードを配信する正規のドメインに遭遇する可能性がありますが、何が起こっているのか全く分かりません。.
暗号資産プロジェクトがリスクを検証する中、調査は継続中である。
情報漏洩がどの程度まで及んだのか、あるいは顧客のシステム構成に変更が生じたのかは不明である。Vercel社は調査を継続しており、新たな情報が入り次第、関係者に最新情報を提供するとしている。また、影響を受けた顧客には直接連絡を取っているとも述べている。.
本稿執筆時点では、主要な暗号通貨プロジェクトでVercelから通知を受け取ったことを公式に確認したところはない。しかし、今回のdent 、各チームはインフラストラクチャの監査、dent情報のローテーション、秘密情報の管理方法の見直しを行うと予想される。.
より重要な教訓は、暗号通貨フロントエンドにおけるセキュリティ対策は、DNS保護やスマートtrac監査だけで終わるものではないということだ。クラウドプラットフォーム、CI/CDパイプライン、AI統合への依存は、リスクをさらに高める。.
信頼できるサービスの一つが侵害された場合、攻撃者は従来の防御策を回避し、ユーザーに直接影響を与える経路を悪用する可能性がある。.
侵害されたAIツールに関連したVercelのハッキング事件は、現代の開発スタックにおけるサプライチェーンの脆弱性が、暗号通貨エコシステム全体に連鎖的な影響を及ぼす可能性があることを示している。.
