Vercel大規模漏洩の衝撃：OAuth攻撃が露呈させた環境変数の脆弱性

2026年4月に発生したVercelのセキュリティインシデントに関する議論が白熱しています。詳細はこちらのHacker Newsスレッドで確認できます：https://news.ycombinator.com/item?id=47824463 （議論件数：485件）。また、「RobloxのチートツールとあるAIツールがVercelのプラットフォームをダウンさせた」という衝撃的な経緯についてはこちらを参照してください：https://news.ycombinator.com/item?id=47844431 （議論件数：145件）。環境変数というプラットフォームの要がいかにして攻撃の突破口になったのか、エンジニアとして必読の事案です。

「効果的な防御にはアーキテクチャの変更が必要だ。OAuthアプリをサードパーティのベンダーとして扱い、長期間有効なプラットフォームのシークレットを排除し、プロバイダー側が侵害されることを前提に設計することだ。」プロバイダー側が侵害されることを前提に設計するなんて極めて難しいよ。だってそれこそが信頼の根幹なんだから…。

Vercelが環境変数のUIを展開した当初、「機密（sensitive）」オプションが存在しなかったってことは、まだ誰も言及していない気がする。導入されるまで2年以上かかっていたよ。

みんながハマる落とし穴がある。Vercelの環境変数をローテーションしても、過去のデプロイは無効化されないんだ。再デプロイするか削除しない限り、古いデプロイは古い認証情報のまま動き続ける。だから、注意喚起の後にキーをローテーションしても、再デプロイを怠っていれば侵害された値がそのまま生き続けることになる。あと、Google WorkspaceのOAuth認証も確認しておいたほうがいい。管理コンソールから「セキュリティ」>「API制御」>「サードパーティ製アプリへのアクセス」を見てみて。2年前にデモのために許可したアプリが、今でもメールやドライブへのフルアクセス権を持ったまま放置されているはずだよ。

「OAuthの信頼関係がプラットフォーム全体の露呈につながった」「CEOが攻撃者の異常なスピードをAIのせいだと公言した」「プラットフォーム侵害における検知から公開までのラグに対する疑問」まさに典型例！個人的に主な失敗はこれだと思う：1. 権限が強すぎるユーザーアカウント（他にも山ほどあるはず） 2. 2FAがなかったり、あっても制限的、もしくはゼロトラストアーキテクチャが皆無 3. セキュリティに対する衛生意識が低い

この件、具体的にどう動いたのかまだよく分からない。ここで言ってるOAuthトークンって、「Googleでサインイン」した時に取得できるやつのこと？それって、ユーザーがサインインした特定のGoogleアプリのクライアントIDとシークレットに縛られてるんじゃないの？攻撃者はそこからどうやってコントロールプレーンに到達したんだ？仮にトークンとクライアントIDとシークレットを知っていたとしても、Googleドライブとかにはアクセスできても（それは確かにまずいけど）、そこからどうやってVercelのシステムにログインできたのかがさっぱり分からない。Googleドライブの中に認証情報でも放置してたのか？

なんでこの同じ話が何度もここで繰り返されるんだ？ビッグニュースなのは分かるけど、同じ内容をN通りの記事（N>1）で説明する必要なんてないだろう。

「AIで加速された技術」とか言ってるけど、証拠もなしにそう言ってるようにしか聞こえないな。だから結局、何も明らかになっていない。

AIツールを規模の大小問わず手当たり次第に試すことで生じるリスク債務に、経済全体が追いついてきている以上、今後似たような話はもっと増えるだろう。「AI活用」って聞こえはいいけど、ベンダーリスクを無視して全社的にAIを導入・テストせよという経営陣のプレッシャーの結果なんじゃないか？スピード、スピード、とにかくスピード重視ってね。これはAIのインストール許可リストを厳格に運用していない企業ならどこでもさらされる、ありふれた脆弱性だ。自社でどれだけの「Context」のようなAIツールがローカルやSaaSで動いてるか把握してる？おそらくかなりの数だよ。IT担当者に聞いてみればいい。こういうツールは…すべてにアクセスできてしまう。セキュリティベンダーやRBAC（ロールベースアクセス制御）の枠組みがまともに機能するのは、あと18〜24ヶ月後といったところか。Vercelは炭鉱のカナリアだよ。これから面白くなるぞ。Contextだけが標的だなんてことは絶対にない。これは昔から存在し、懸念されつつも無視されてきた脅威ベクターだ。一つが突破されれば、他も次々と始まる。もし今回の件がきっかけになるなら、今後半年はかなり厳しい状況になるだろうね。みんな今（あるいは今すぐ）AIの導入状況を監査し始めているはずだし、脅威アクターはアクセス権が遮断される前に手持ちの権限で暴れ回るだろうからね。ソース：テック企業のセキュリティ責任者より

このレポートにある内容の一部、例えば2024年から2025年にかけてのタイムラインって、広く報じられてなくない？これらの日付のソースがどこにあるか知ってる人いる？例えば、「2024年後半〜2025年前半：攻撃者がContext.aiのOAuthアクセスからVercel社員のGoogle Workspaceへピボット（確認済み：Rauch氏の声明）」「2025年前半〜半ば：Vercel内部システムへのアクセス、顧客の環境変数の列挙開始（確認済み：Vercelの掲示板）」とかさ。

フェーズ2が理解できない。ContextAIのアプリがGoogleメール、ドライブ、カレンダーなどのアクセス権を要求したのか？そんなの正気の沙汰じゃない。個人商店じゃないんだから、自社環境の外でそんなものを動かす許可を出す企業があるなんて信じられない。編集：Context.ai自身の解説を読むとかなり詳細に書かれてるね。https://context.ai/security-update Vercelの社員の一人が、自分の判断でGoogle Workspaceへのフルアクセス権を付与してしまったみたいだ。