暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
tag
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
SpaceX Pre-IPOs
報酬

Context.ai が侵害され Vercel のセキュリティ危機が発生、CEO が完全な調査の進捗を公開

MarketWhisper
AI業界ニュース

Context.ai攻击事件

VercelのCEOであるGuillermo RauchがXで調査の進捗を公開し、Vercelの従業員が使用していたサードパーティのAIプラットフォームContext.aiが侵害されたことを確認した。攻撃者は、プラットフォームのGoogle Workspace OAuth連携を通じて従業員のアカウント認証情報を入手し、さらにVercelの一部の社内環境や「機密」ではないと未標記の環境変数にアクセスした。

攻撃チェーン:AIツールのOAuth侵害からVercel環境への段階的な浸透

Vercelの調査によると、攻撃経路は3つの段階的に高度化するフェーズに分けられる。まず、Context.aiのGoogle Workspace OAuthアプリは、より大規模なサプライチェーン攻撃の一環として以前に侵害されており、複数の組織の数百名のユーザーに影響した可能性がある。次に、攻撃者はContext.aiへの侵害を通じてVercel従業員のGoogle Workspaceアカウントを制御し、その認証情報を用いてVercelの社内システムへ侵入した。そして3つ目として、攻撃者は列挙の手段により、「機密」ではないと未標記の環境変数を利用して、さらなるアクセス権限を取得した。

Rauchは公告の中で、攻撃者の行動速度は「驚くべきもので」、Vercelのシステムに対する理解は「非常に深い」と述べ、AIツールの助けを借りて攻撃効率を大幅に高めた可能性が極めて高いと評価した。

「機密」と「非機密」の環境変数における安全な境界

今回の件は、Vercelの環境変数のセキュリティメカニズムに関する重要な詳細を明らかにした。「機密」として標記された環境変数は、読み取りを防ぐ形で保存されており、調査の現時点ではこれらの値がアクセスされた形跡は見つかっていない。攻撃者が悪用したのは、「機密」として未標記の環境変数であり、攻撃者は列挙の手段によってそこから追加のアクセス権限を正常に取得した。

Vercelは、環境変数の概要ページと、改善された機密環境変数の管理インターフェースを追加し、高リスクな設定値をより明確に識別し、保護することを支援している。

Vercelの緊急対応と公式の推奨アクションのチェックリスト

VercelはGoogle Mandiant、そのほかの複数のサイバーセキュリティ企業を起用し、さらに捜査当局への通知も行って介入を要請した。Next.js、Turbopack、およびVercelのオープンソースプロジェクトはいずれもサプライチェーン分析で安全性が確認されており、現在のところプラットフォームのサービスは通常どおり稼働している。

公式の推奨:お客様向けのセキュリティ対応

アクティビティログを確認:アカウントおよび環境のアクティビティログを精査し、不審な動きを特定する

環境変数をローテーション:機密情報(APIキー、トークン、データベース認証情報、署名キー)を含むが、機密として未標記の環境変数は、漏えい済みの可能性があるものとして扱い、優先してローテーションする

機密環境変数機能を有効化:すべての機密設定値が正しく「機密」として標記されていることを確認する

最近のデプロイを確認:異常なデプロイを調査し、不審なバージョンを削除する

デプロイ保護を設定:少なくとも「標準」レベルに設定し、デプロイ保護トークンをローテーションする

よくある質問

Context.aiとは何で、どのように今回の攻撃の入口になったのですか?

Context.aiは、Google Workspace OAuth連携を使用する小型のサードパーティAIツールで、Vercelの従業員が日常業務で利用していた。調査では、このツールのOAuthアプリが、より広範なサプライチェーン攻撃の中で以前に侵害されており、複数の組織の数百名のユーザーに影響した可能性があり、この過程でVercel従業員のアカウント認証情報が攻撃者によって取得されたことが示されている。

Vercelが「機密」として標記した環境変数は影響を受けていますか?

現時点の調査では、「機密」として標記された環境変数がアクセスされた証拠は見つかっていない。この種の変数は、読み取りを防ぐための特殊な方法で保存される。攻撃者が悪用したのは「機密」として未標記の環境変数であり、攻撃者は列挙の手段によってそこから追加のアクセス権限を正常に取得した。

Vercelの顧客は、自分が影響を受けているかどうかをどう確認できますか?

Vercelからの直接の連絡がない場合、Vercelは現時点で、当該顧客の認証情報や個人情報が漏えいしたと判断する理由はないとしている。すべての顧客に対し、自主的にアクティビティログを確認し、「機密」として未標記の環境変数をローテーションし、機密環境変数機能を正しく有効化することを推奨する。技術的なサポートが必要な場合は、vercel.com/helpを通じてVercelに連絡できる。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

Google ResearchがReasoningBankをリリース:AIエージェントが成功と失敗から推論戦略を学ぶ

AIエージェントAI業界ニュース

ゲートニュース 4月22日 — Google Researchは、エージェントのメモリーフレームワークであるReasoningBankをリリースしました。これは、大規模言語モデル主導のエージェントが、デプロイ後も継続的に学習できるようにするものです。このフレームワークは、成功したタスク経験と失敗したタスク経験の両方から普遍的な推論戦略を抽出し、

GateNews19分前

SKテレコムとNvidia、韓国政府のイニシアチブのもとA.X K2 AIモデルで提携

AI業界ニュース

SKテレコムとNvidiaは、韓国の「Proprietary AI Foundation Model」イニシアチブのもとでA.X K2を推進し、A.X K1からKrafton-Rebellionsコンソーシアムを通じて、学術・商用利用向けのフルスタックでオープンソースのAIプラットフォームへと拡大します。 要旨:この記事は、韓国政府が後押しするプログラムのもとで、A.X K1の後継としてA.X K2を開発するためのSKテレコムとNvidiaの提携を報じています。この取り組みは、Krafton-Rebellions主導のコンソーシアムを通じて、フルスタックでオープンソースのAIプラットフォームを構築することを目指しており、研究はマルチモーダルおよびビジョン言語モデルに焦点を当て、A.Xモデルを学術および産業向けにオープンアクセスで提供することを狙います。

GateNews23分前

清華教授・戴季峰がNaive.aiを立ち上げ、$300M の資金調達($800M 評価)

AIエージェントAI業界ニュース

Gate Newsメッセージ、4月22日――清華大学 電子工学部の准教授・戴季峰氏が、オープンソースのモデル事後学習とAIエージェントに注力するNaive.aiを設立した。スタートアップは、推定企業価値$80で、$300 百万ドル規模の資金調達を行った

GateNews43分前

AWS、マルチエージェントAIワークフローを拡大。BedrockでClaude Opus 4.7をサポート

AIエージェントAI業界ニュース

ゲートニュース メッセージ、4月22日 — Amazon Web Servicesは、マルチエージェントのワークフローを通じて、自社のエージェント型AIイニシアチブを拡大すると発表しました。Amazon Bedrock上でAnthropicのClaude Opus 4.7をサポートし、顧客が生成AIの試験運用を超えて前進できるよう支援します。同社は、顧客が単一のAIツールから、複数の専門エージェントをつなぐシステムへ移行するのに合わせて、パートナー関係を拡大しています。

GateNews53分前

Zhipu AI、4月30日にGLM Coding Planの無制限週次クォータサブスクリプションを停止

AI業界ニュース

Gate Newsのメッセージ、4月22日――Zhipu AIは、GLM Coding Planの無制限の週次クォータサブスクリプションについて、2026年4月30日午前10:00(北京時間)から自動更新を停止すると発表しました。 今回の停止は、現在、自動更新が有効になっている旧プランを契約しているユーザーに影響します

GateNews1時間前

アンソロピックのClaude Code削除が開発者の反発を引き起こす;OpenAIがコミュニティの支持を獲得

AI業界ニュース

アンソロピックがProプランからClaude Codeを廃止し、開発者がOpenAIへ移行する中で批判が噴出。Codexは無料/ベーシックのまま、GPT-5.4とImage 2.0がパフォーマンスを押し上げ、大規模なユーザー移行を促進。 概要:この記事は、$20 ProプランからClaude Codeを削除したアンソロピックの対応を検証しており、それにより、隠れた値上げでありツールの信頼性リスクだと非難する開発者から反発が起きている。これは、Codexを無料およびベーシックのティアに留めるOpenAIの方針と対比しつつ、GPT-5.4およびChatGPT Images 2.0による強力なモデル性能を強調し、Codexが週次アクティブユーザーで400万人超を記録したとされる急速なOpenAIへのユーザー移行にも言及している。

GateNews1時間前
コメント
0/400
コメントなし