00:00:00ある人物がRobloxのハッキングツールをインストールしたことがきっかけで、Vercelがハッキングされ、
00:00:04プロジェクトの環境変数がすべて流出した恐れがあります。ハッカーは盗み出した
00:00:09データに対して200万ドルを要求しています。
00:00:10いや、これは非常に恐ろしく、衝撃的な話です。詳しく見ていきましょう。
00:00:17こちらがVercelによるハッキングの報告です。彼らはセキュリティインシデントを確認し、
00:00:21Vercelの内部システムの一部に不正アクセスがあったと述べています。
00:00:25これらのシステムからは、重要ではない環境変数(デフォルト設定のままのものが多いですが)に
00:00:29アクセスできたほか、膨大な企業内部データも流出しました。
00:00:33これは攻撃者が盗んだデータを販売している様子です。彼らは悪意のあるNPMパッケージをリリースし、
00:00:37数百万人のユーザーに感染させることができると主張しています。
00:00:38しかし、攻撃者は一体どうやって情報を入手したのでしょうか?
00:00:40そのためには、あるVercel社員のストーリーを追う必要があります。
00:00:44その社員は業務の効率化を模索しており、AIに仕事を任せる選択肢を探して
00:00:47「Context.ai」という製品、特に「AI Office Suite」というレガシー製品にたどり着きました。
00:00:52これはプレゼンテーション、ドキュメント、スプレッドシートの作成や、
00:00:57ユーザーの代わりにメールを作成するためのツールでした。
00:01:00Vercelの社員はこれを試してみることにし、会社のGoogle
00:01:04Workspaceアカウントを使ってサインアップし、GoogleドライブとGmailへのフルアクセスを許可する
00:01:09「Allow all(すべて許可)」権限を与えてしまいました。
00:01:10会社のアカウントを使い、さらにフルアクセス権限を与えるのは少し無謀だったと
00:01:13思うかもしれませんが、実際その通りでした。
00:01:14まあ、そうなのですが。
00:01:16しかし、Context.ai自体は正当な企業です。
00:01:19彼がここでGoogleアカウントを盗まれたわけではありません。
00:01:21それについては、さらに深く掘り下げる必要があります。
00:01:23Context.aiの権限を強く持つ社員に注目しなければなりません。
00:01:27その社員はContext.aiの構築に追われ、急速に変化するAI業界についていくのに必死で、
00:01:32少し休憩してRobloxでも遊ぼうと考えました。
00:01:35問題なのは、どうやらそのゲームがあまり上手くなかったようで、
00:01:39近道をしたかったのか、Robloxのハッキングツール、特に自動ファーム(オートファーム)スクリプトを
00:01:44探し始め、それを見つけて会社のノートPCにダウンロードしてしまいました。
00:01:49本当にこんなことが起きたなんて信じられません。あまりにも愚かです。
00:01:53予想通り、ダウンロードしたRobloxのハッキングツールには情報窃取型マルウェア(インフォスティーラー)が含まれており、
00:01:57「LumaStealer」という名称のものでした。
00:01:59これは2022年に初めて発見された、有名な情報窃取型マルウェアです。
00:02:03マシンに入り込むと、ライブセッションのクッキーや企業の認証情報を抜き取ります。
00:02:07そしてContext.aiの社員の場合、ノートPCのログからGoogle Workspaceの認証情報だけでなく、
00:02:11Supabase、Datadog、AuthKitなどのログイン情報やキーにも
00:02:15アクセスされていたことがわかっています。
00:02:16ブラウザでログインしていたものはすべて盗まれたということです。
00:02:19攻撃者はこれらの認証情報を使用して、Context.aiの内部AWS環境にアクセスし、
00:02:25その中で「大当たり」を見つけました。
00:02:27彼らはレガシー製品であるAI Office SuiteのユーザーのOAuthトークンを含む
00:02:32データベースを見つけ、侵害したのです。
00:02:33そして、その中に誰のトークンがあったと思いますか?
00:02:36あのVercelの社員のものです。
00:02:37このトークンを使って、攻撃者はContext.aiからVercelへとピボット(横展開)し、
00:02:41Vercelの社員のGoogle Workspaceアカウントを、パスワードも多要素認証も
00:02:46要求されることなく乗っ取ることができました。
00:02:48このアカウントを通じて、攻撃者はLinearなどのVercelの多くの内部システムにアクセスし、
00:02:51さらにはVercelユーザーのプロジェクトの重要ではない環境変数に
00:02:55アクセスできるバックエンドにまで侵入しました。
00:02:56Vercelで環境変数を設定したことがあるならご存知でしょうが、
00:03:00変数を「機密(Sensitive)」としてマークするには手動でチェックを入れる必要がありました。
00:03:02そうすれば強力に暗号化され、内部システムからもマスクされますが、デフォルトでは
00:03:06「非機密」となっており、これらは平文に復号されて内部からアクセスできてしまったのです。
00:03:10これらすべてが、4月19日の出来事につながります。「Shiny Hunters」と名乗る攻撃者が、
00:03:15ブリーチフォーラム(流出情報掲示板)に投稿し、盗んだデータに200万ドルを要求したのです。
00:03:19彼らはソースコード、NPMトークン、GitHubトークン、従業員記録を保持していると主張し、
00:03:23アクセス権がある証拠として、Vercelの内部エンタープライズダッシュボードのスクリーンショットを公開しました。
00:03:27興味深いことに、本物のShiny Huntersグループのメンバーは
00:03:31この件への関与を否定しています。つまり、別の関係者か、彼らのブランドを利用しようとする偽者かもしれません。
00:03:36しかし、いずれにせよ、すべてはRobloxのハッキングツールから始まったのです。
00:03:40Vercelはハッキングを認識した後、直ちにインシデントレスポンスを開始しました。そして、
00:03:43Next.jsやTurboPackといったコアなオープンソースプロジェクトは完全に安全であることを確認し、
00:03:48新しい環境変数はすべてデフォルトで「機密」として設定されるように変更しました。
00:03:52以上がハッキングの概要ですが、私と同じVercelユーザーであれば、
00:03:55これから多くの対応作業が待ち受けているはずです。
00:03:56Vercel上で設定していたすべての「非機密」環境変数が
00:04:00漏洩したと想定し、ソース側で積極的にキーをローテーションする必要があります。
00:04:03プロジェクトを削除してVercelから離れるだけでは解決しません。
00:04:06また、Context.aiを使用した社員がいるかもしれないと心配な企業は、
00:04:10Google Workspaceで承認済みのOAuthアプリを監査し、問題のContext.aiアプリIDがないかを確認してください。
00:04:14Infostealer(情報窃取型マルウェア)に関するブログ記事のリンクをこちらに残しておきますので、
00:04:19詳細な対処法をご確認ください。
00:04:20この話の教訓は、権限を与えすぎたAIツール一つと、
00:04:24Robloxで不正をしようとした一人の社員がいるだけで、Webで最大規模のインフラ
00:04:28プラットフォームが侵害されてしまうということです。
00:04:29会社のノートPCにゲームのハッキングツールをダウンロードするのは絶対にやめてください。正直なところ、
00:04:33信頼できないものは何であれ、ダウンロードすべきではありません。
00:04:34今回の件について皆さんがどう思うか、下のコメント欄で教えてください。ついでに
00:04:37チャンネル登録もお願いします。それでは、また次回の動画でお会いしましょう。
00:04:40[音楽]