B
今週中
Vercelは、サードパーティAIツールであるContext.aiの侵害を起点としたセキュリティ侵害
📌 一言でいうと
Vercelは、サードパーティAIツールであるContext.aiの侵害を起点としたセキュリティ侵害を発表しました。攻撃者は従業員のGoogle Workspaceアカウントを乗っ取り、一部の内部システムや「機密」としてマークされていない環境変数にアクセスしました。ただし、暗号化された機密環境変数が漏洩した証拠はないとしており、現在はMandiantなどの専門企業と協力して対応しています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🏢影響範囲
Vercelの顧客および内部システムを利用する組織
✅該当時の対応
サードパーティ製ツールの権限管理を最小限に制限し、多要素認証(MFA)を徹底すること。また、環境変数の機密設定を適切に管理し、定期的に監査を行うことを推奨します。