HN🔥 498
💬 298
【緊急】Vercelでセキュリティインシデント発生!影響範囲と対策を徹底解説
colesantiago
約12時間前
ディスカッション (11件)
0
colesantiagoOP🔥 498
約12時間前
Vercelで2026年4月に発生したセキュリティインシデントに関する公式報告が公開されました。詳細な影響範囲や今後の対応については、Vercelの公式ナレッジベース(https://vercel.com/kb/bulletin/vercel-april-2026-security-incident )をご確認ください。
1
MattIPv4
約12時間前
関連情報:https://news.ycombinator.com/item?id=47824426 (https://news.ycombinator.com/item?id=47824426) https://x.com/theo/status/2045862972342313374 (https://x.com/theo/status/2045862972342313374) > これが信頼できる情報であると考える理由がある。 https://x.com/theo/status/2045870216555499636 (https://x.com/theo/status/2045870216555499636) > センシティブとマークされた環境変数は安全。そうでないものは念のため入れ替えるべき。 https://x.com/theo/status/2045871215705747965 (https://x.com/theo/status/2045871215705747965) > このハッキングについて知る限り、どのホストでも起こり得ることのようだ。 https://x.com/DiffeKey/status/2045813085408051670 (https://x.com/DiffeKey/status/2045813085408051670) > VercelがShinyHuntersに侵害されたとの報道あり。
2
jtreminio
約11時間前
MacBook ProでGoogle Chrome 147.0.7727.56を使ってるんだけど、ページ左上のVercelロゴをクリックするとChromeアプリがハードクラッシュする。即座に落ちるんだよね。なかなか面白いバグだ。
3
swingboy
約9時間前
これって、実はめちゃくちゃ多くの顧客が影響を受けてるのに、「一部」っていう表現で失うとマズい大口顧客だけを指してるパターンじゃないの?
4
toddmorey
約9時間前
以前、セキュリティインシデントの対応チームにいたことがあるから彼らの苦境はすごく理解できる。でも、今回の最初の広報はひどすぎる。「何か」が起きた、何が起きたかは言わない、でも法執行機関に通知するほど深刻なことだったと。私が驚いたのは、提示された唯一のアドバイスが「環境変数を確認せよ」という点。顧客にどうしろって言うの?変数がまだそこにあるか確認すればいいの?流出したかどうかすらどうやって判別すればいいのさ?本来なら、Vercelと共有しているパスワードやアクセストークン、あらゆる機密情報を直ちにローテート(更新)せよ、と伝えるべきだし、その上でアクセスログや顧客データに不審な動きがないか監査を始めるよう促すべきでしょ。彼らが提供するホスティングリソースに高い金を払う唯一の理由は、彼らがセキュリティや安定性をプロとして管理してくれると期待しているからなんだよ。初期段階では不確実性が高いのは分かるけど、何が起きて誰が被害を受けたのかを意図的に曖昧にしているようで不安で仕方ない。
5
nike-17
約9時間前
こういうインシデントって、現代のウェブエコシステムがいかに単一障害点(SPOF)に依存しきっているかを思い出させてくれるね。開示の透明性は評価するけど、フルマネージドのPaaSにすべてを委ねるリスクプロファイルを改めて考え直さないといけないな。
6
nikcub
約8時間前
Claude Codeが特定のプロバイダー[0]やフレームワークをデフォルトで推奨しているせいでウェブが均質化していて、その多様性の欠如がインシデントの被害を拡大させているんだよな。
7
_jab
約8時間前
Vercelはどのシステムが侵害されたか特定しなかった セキュリティエンジニアじゃないけど、これって全く受け入れがたいよね?インシデントの影響を顧客が理解できるようにするより、Vercel自身の保身を優先してるようにしか見えない。
8
Izmaki
約7時間前
「顧客の一部」が全体の99%だったとしても、言葉の上では嘘じゃないからね。
9
nettlin
約7時間前
詳細が追加されてるよ: > 侵害の指標 (IOC) > 調査の結果、今回のインシデントはサードパーティのAIツールが発端であることが判明した。そのツールのGoogle Workspace OAuthアプリが広範な侵害を受けており、多くの組織にわたる数百ものユーザーに影響が出ている可能性がある。 > コミュニティ全体での調査と悪意あるアクティビティの検証を支援するため、以下のIOCを公開する。Google Workspace管理者およびGoogleアカウントの所有者は、直ちにこのアプリの使用状況を確認することを推奨する。 > OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com https://vercel.com/kb/bulletin/vercel-april-2026-security-in...
10
nettlin
約7時間前
詳細が追加されてるよ: > 侵害の指標 (IOC) > 調査の結果、今回のインシデントはサードパーティのAIツールが発端であることが判明した。そのツールのGoogle Workspace OAuthアプリが広範な侵害を受けており、多くの組織にわたる数百ものユーザーに影響が出ている可能性がある。 > コミュニティ全体での調査と悪意あるアクティビティの検証を支援するため、以下のIOCを公開する。Google Workspace管理者およびGoogleアカウントの所有者は、直ちにこのアプリの使用状況を確認することを推奨する。 > OAuth App: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com https://vercel.com/kb/bulletin/vercel-april-2026-security-in...