Vercelに200万ドルの損害を与えたRobloxハック

仕事用ラップトップにRobloxのゲームハックをダウンロードするという何気ない決断が、予期せず世界的なテクノロジー危機へと発展し、主要なウェブ開発プラットフォームであるVercelの完全性を脅かしました。これは高度な国家による攻撃や巧妙なゼロデイエクスプロイトではなく、単一の侵害されたマシンから始まった、一見些細な見落としが記念碑的な結果を招いた連鎖でした。

最初の侵害は、正当なサードパーティAIサービスであるContext.aiの高度な権限を持つ従業員から発生しました。Robloxゲームで近道を探していたこの従業員は、会社のデバイスに「auto-farm」スクリプトをダウンロードしました。彼らが知らなかったのは、そのハックに2022年に初めて特定された悪名高い情報窃取マルウェアであるLumma Stealerが含まれていたことです。

Lumma Stealerは、Context.ai従業員のGoogle Workspaceログイン情報や、Supabase、Datadog、AuthKitなどのサービス用のキーを含む重要な認証情報を迅速に収集しました。攻撃者はこれらを利用してContext.aiの内部AWS環境に侵入しました。そこで、彼らはContext.aiのレガシーAI Office SuiteユーザーのOAuthトークンを保持するデータベースを発見し、侵害しました。

決定的なことに、これらのトークンの一つは、VercelのGoogle Workspaceアカウントを使用してContext.aiにサインアップし、「Allow All」権限を与えていたVercelの従業員のものでした。この単一のトークンが転換点となり、攻撃者はパスワードを必要とせず、多要素認証をトリガーすることなく、Vercel従業員のGoogleアカウントを乗っ取ることができました。

この前例のないアクセスにより、攻撃者は複数のVercel内部システムに侵入し、驚くべきことにVercelユーザープロジェクトの非機密環境変数へのアクセスも得ました。4月19日、Shiny Huntersと名乗るグループがBreachForumsに投稿し、盗まれたデータに対して驚くべき200万ドルを要求しました。彼らはVercelのソースコード、NPMトークン、GitHubトークン、従業員記録を所有していると主張し、証拠としてVercelの内部エンタープライズダッシュボードのスクリーンショットまで提供しました。この恐ろしい事件は、単純なゲームチートがいかにして企業全体のセキュリティ境界を崩壊させ、何百万もの開発者とそのプロジェクトを危険にさらすかを示しています。

Context.aiの従業員による、一見無害に見える一つの決断が、Vercelのセキュリティ危機全体を引き起こしました。Robloxゲームで不公平な優位性を求めて、この個人は「auto-farm」スクリプトまたはゲームエクスプロイトエグゼキューターを会社支給のラップトップにダウンロードしました。この仮想世界での近道が、企業インフラへの非常に現実的なバックドアを開き、一連の連鎖的な出来事の舞台を設定しました。

決定的な誤りは、サイバーセキュリティのベストプラクティスに対する根本的な違反にありました。信頼できないサードパーティ製ソフトウェア、特にゲームのメカニズムを回避するように設計されたものを、企業ネットワークに接続されたデバイスに導入することは、直ちにリスクプロファイルを高めました。この行為は、個人的な娯楽と職業上の責任との境界線を曖昧にし、会社の境界内に危険で容易に悪用可能な脆弱性を生み出しました。

予想通り、ダウンロードされたRobloxのハックは単なるゲームチートではありませんでした。強力なLumma Stealerマルウェアを潜ませていたのです。2022年に初めて確認されたこの高度な情報窃取ソフトウェアは、Windowsシステムを標的とし、セキュリティ対策を積極的に回避し、難読化技術を用いて幅広い機密データを外部に流出させます。実行されると、Lumma Stealerはその陰湿な活動を開始し、侵害されたマシンから直接、ライブセッションクッキー、暗号通貨ウォレット、そして重要な企業認証情報をスクレイピングしました。

マルウェアは、Context.aiの従業員の重要なアクセストークンとログイン情報を迅速に収集しました。これには、会社のメールやドキュメントへのアクセスに不可欠なGoogle Workspaceの認証情報に加え、Supabase、Datadog、AuthKitなどの様々な開発ツールやサービスのキーとログイン情報が含まれていました。従業員がブラウザでログインしていた機密データはすべて、この情報窃取マルウェアの標的となり、多数のプラットフォームへの不正アクセスを可能にしました。ゲームのショートカットを求める願望から生じたこのたった一度の過失が、個人的な娯楽を、やがてテクノロジー業界全体に波及する数百万ドル規模の企業セキュリティ侵害の「最初の感染源（patient zero）」へと変貌させました。

ダウンロードされたRobloxのハックには、悪名高い情報窃取マルウェアであるLumma Stealerが隠されていました。2022年に初めて確認されたこの高度なインフォスティーラーは、Windowsシステムを標的とし、高度な難読化および検出回避技術を用いてセキュリティ対策をすり抜け、永続性を維持します。その主な機能は、感染したマシンのウェブブラウザ、暗号通貨ウォレット、ファイルシステム、およびインストールされたアプリケーションから直接、機密データを体系的にスクレイピングすることであり、攻撃者にとって包括的なデジタルバールとなっています。

Context.aiの従業員の会社のラップトップから、Lumma Stealerは大量の重要な情報を迅速に外部に流出させました。攻撃者は以下にアクセスしました。 - メールおよびクラウドストレージのアクティブなログイン認証情報を含むGoogle Workspaceの認証情報 - ライブセッションクッキー。これにより、アクティブなセッションに対する多要素認証（MFA）のプロンプトを効果的にバイパス - Supabase、Datadog、AuthKitなどの重要な開発者サービス用のAPIキー。これにより、プログラムによるアクセスを許可

この包括的な窃取には、従業員が保持していたすべてのアクティブな認証情報やブラウザセッションが含まれており、攻撃者はこれらの重要なプラットフォームとその内部データに即座に、認証なしでアクセスできるようになりました。

Lumma Stealerは、急成長するMalware-as-a-Service (MaaS)エコシステム内で活動しています。このモデルは、サイバー犯罪を志す者にとって参入障壁を劇的に下げ、エクスプロイト開発における深い技術的専門知識を必要とせずに、強力で高度なマルウェアへのアクセスを民主化します。アフィリエイトはサブスクリプションやライセンスを購入し、この情報窃取マルウェアの堅牢なインフラ、継続的なアップデート、および配布チャネルにアクセスすることで、マルウェア運用の複雑な側面を実質的に外部委託します。サイバー犯罪のこの商業化により、高度な攻撃がより広範な脅威アクターに容易に利用可能になっています。

MaaSフレームワークは、非常に効果的な攻撃を信じられないほど容易にし、盗まれた認証情報や企業アクセス権の儲かる闇市場を活気づけています。このような容易に入手可能なツールは、一見無害なゲームハックのダウンロードを、企業スパイ活動や組織のサプライチェーン全体にわたる壊滅的なデータ侵害の強力な媒介へと変貌させます。組織は、これらの商業化された脅威がもたらす高まり、かつ広範なリスクを認識する必要があります。このインシデントの広範な影響とVercelの緩和策に関する詳細については、Vercel April 2026 Security Incident Bulletinを参照してください。

Context.ai従業員のラップトップから正常にスクレイピングされたLumma Stealerの巧妙なペイロードは、企業認証情報の重要なキャッシュをもたらしました。攻撃者は、盗まれたGoogle Workspaceの認証情報と、Supabase、Datadog、AuthKitなどのサービス用のキーおよびログイン情報を直ちに悪用し、Context.aiの内部AWS環境への不正アクセスを獲得しました。この直接的かつ迅速なアクセスは、従来の境界防御を迂回し、侵害を単一の侵害されたワークステーションから企業のクラウドインフラストラクチャの中心へと移動させ、重要なクラウドリソースとサービスに対する初期制御を付与しました。

初期のマルウェア感染からより深いネットワーク侵入へのこの移行は、古典的なサイバー攻撃のピボットの典型です。攻撃者は、盗まれた従業員の認証情報から得られるような限定的な初期アクセスを利用して、ターゲットネットワーク内に足がかりを確立します。この戦略的な地点から、

このエスカレートする侵害の連鎖における重要なリンクは、Vercelの従業員を通じて浮上しました。この個人は、仕事の支援を求めて、自身のVercel Google Workspaceアカウントを使用してContext.aiのレガシー製品であるAI Office Suiteにサインアップしていました。決定的に、彼らはアプリケーションに「すべて許可」の権限を与え、Vercelの企業環境とサードパーティサービスとの間に、意図せずとも直接的な橋を築いていました。

この橋は、Context.aiの内部AWS環境にすでに深く入り込んでいた攻撃者が大当たりを発見したとき、セキュリティ上の大きな溝となりました。彼らは、レガシーAI Office SuiteのユーザーのOAuthトークンを含むデータベースを発見し、侵害しました。OAuthトークンは、ユーザーの実際のパスワードを必要とせずに、サードパーティアプリケーションが別のサービス（Googleなど）上の特定のユーザーデータにアクセスすることを許可する認証情報です。これは委任された権限として機能し、ユーザーによって以前に承認された許可を付与します。

盗まれた認証情報の中に、Vercel従業員のトークン、つまり彼らのGoogle Workspaceアカウントへのデジタルキーがありました。攻撃者はこのトークンを悪用し、その委任された権限を利用して、Context.aiから直接Vercelのシステムへとピボットしました。これはパスワード侵害ではなく、既存の正当な認証の悪用でした。

トークンに内在する権限は壊滅的であることが判明しました。攻撃者は、アカウントのパスワードを必要とすることなく、Vercel従業員のGoogle Workspaceアカウントを乗っ取ることができました。さらに重要なことに、このアクセスは、通常は不正なログイン試行をブロックするはずの多要素認証（MFA）のプロンプトを迂回しました。トークン自体が認証だったのです。

この侵害されたアカウントにより、攻撃者はVercelの内部システムへの宝庫にアクセスしました。これには、プロジェクト管理ツールであるLinear、さらにはVercelユーザープロジェクト内の機密性の低い環境変数にアクセスできるバックエンドシステムも含まれていました。これらの変数のデフォルト設定は「機密性なし」であり、復号化と内部アクセスに対して脆弱な状態になっており、攻撃者が迅速に悪用した重大な見落としでした。

Vercel従業員のOAuthトークンを手に入れた攻撃者は、会社の内部インフラストラクチャに直接ピボットしました。Context.aiの侵害を通じて取得されたこの単一のトークンは、Vercelの広範なシステムを解錠し、多要素認証をトリガーすることなく侵入者に重要なアクセス権を与えました。彼らのアクセス範囲は、様々な重要な企業ツールやデータリポジトリに及びました。

侵入者は直ちに、Vercelのプロジェクト管理プラットフォームであるLinearを含む内部ダッシュボードやその他のエンタープライズシステムを操作しました。これらのプラットフォームへのアクセスにより、Vercelの運用ワークフロー、内部プロジェクト、およびコミュニケーションが明確に把握されました。後に攻撃者によって投稿されたVercelの内部エンタープライズダッシュボードのスクリーンショットは、彼らの深い侵入の否定できない証拠となりました。

決定的に、攻撃者はユーザープロジェクトのenvironment variablesを取得できるバックエンドシステムにアクセスしました。侵害当時、Vercelは「機密性の高い」変数と「機密性の低い」変数を区別していました。変数を機密性としてマークするには手動のユーザー操作が必要であり、これによりその変数は強力に暗号化され、内部システムからマスクされ、その内容が保護されました。

しかし、environment variablesのデフォルト設定は非機密性でした。この重要な区別は、明示的に機密性としてマークされていない変数が、内部システムがそれらをプレーンテキストに復号できる方法で保存されていたことを意味します。攻撃者はこのデフォルト設定を悪用し、顧客の秘密、API keys、データベースの認証情報、その他の重要なデータを大量に漏洩させた可能性があります。

この脆弱性により、多数のユーザープロジェクト変数が露呈し、開発者固有の広範な秘密が含まれていました。攻撃者は、npm tokens、GitHub tokens、およびその他の開発者認証情報を所有していると豪語しており、これらすべてがこの方法で潜在的に持ち出された可能性があります。このアクセスの広範な範囲は、その後の200万ドルの身代金要求の主要な要素となりました。

この巧妙な攻撃が、一見些細なインシデントからどのように展開したかについて深く掘り下げるには、読者はVercel's security breach started with malware disguised as Roblox cheats | CyberScoopを探索できます。この事件は、サプライチェーンの脆弱性による連鎖的なリスクと、安全なデフォルト設定の極めて重要な重要性を強調しています。

4月19日、デジタル世界は身の毛もよだつような公開発表を受けました。悪名高いShinyHuntersという名で活動する脅威アクターが、BreachForumsに投稿し、驚くべき200万ドルを要求したのです。この大胆な身代金要求は、Vercelの侵害後の最悪の懸念を裏付け、控えめな内部インシデントを、即座の行動を強いることを目的とした高額な公開恐喝の試みに変えました。

攻撃者は、Vercelの重要な資産への包括的なアクセスを主張し、プラットフォームの完全性とユーザーの信頼を著しく損なう可能性のある盗まれたデータの宝庫を列挙しました。彼らが主張する戦利品には以下が含まれていました。 - Source code - NPM tokens - GitHub tokens - Employee records 彼らの深い侵入の反論の余地のない証拠として、彼らはVercelの内部エンタープライズダッシュボードのスクリーンショットさえ提供し、その異常な主張を裏付けました。

「ShinyHunters」の帰属を巡って、すぐに論争が巻き起こりました。実際に確立されたShinyHuntersグループのメンバーは、Vercelの事件への関与を即座に否定しました。これにより、攻撃者が知名度の高いブランドを利用して重みを加えようとする関連組織だったのか、それともその名声と恐怖を利用しようとする全く別のなりすましグループだったのかについて、重大な疑問が提起されました。

この事件は、現代のデータ恐喝グループの進化する心理とビジネスモデルを如実に示しています。これらの組織は、体系的に脆弱性を悪用し、機密データを持ち出し、その後、公開身代金を通じて不正な利益を収益化します。多くの場合、地下フォーラムでデータを漏洩または販売すると脅迫することで圧力をエスカレートさせます。この心理戦は、被害者に直接的な金銭的損失と深刻な評判の損傷、潜在的な規制上の罰則を比較検討させるという苦渋の決断を迫ります。

200万ドルの要求は、Vercelの侵害されたデータの認識された価値と、攻撃者側の交渉力に対する自信を浮き彫りにしました。このような公衆の面前での恥辱を与える戦術は、迅速な支払いを強制することを目的としており、純粋な暗号化ベースのランサムウェアから、現代のサイバーセキュリティ環境における主要かつ非常に収益性の高い脅威ベクトルとしてのデータ窃盗と恐喝への広範な移行を反映しています。これは、Robloxハッキングの波及効果における重大なエスカレーションを示しました。

Vercelは、侵害を発見すると直ちに迅速かつ包括的なインシデント対応を開始し、プラットフォームのセキュリティ確保へのコミットメントを示しました。同社は、徹底的な調査と修復作業を支援するため、インシデント対応とフォレンジックを専門とする主要なサイバーセキュリティ企業であるMandiantを直ちに起用しました。Vercelはまた、関連する法執行機関に迅速に通知し、Context.aiを起源とする高度なサプライチェーン攻撃に対する進行中の調査に全面的に協力しました。

決定的に重要なこととして、Vercelは将来の同様の脅威に対してセキュリティ体制を強化するため、プラットフォームレベルで重要な変更を実施しました。最も影響の大きかった更新は、機密環境変数のデフォルト動作に関するもので、すべての新しい環境変数がデフォルトで「機密」になりました。この重要な変更により、それらが保存時に暗号化され、Vercelの内部システムからマスクされることが保証され、今回の侵害で悪用された、非機密変数がプレーンテキストとしてアクセス可能だった脆弱性に直接対処しています。Vercelはまた、既存のすべての非機密変数が侵害されたと仮定し、関連するキーをローテーションするようユーザーに促しました。

Vercelの基盤技術を活用する開発者は、プロジェクトの整合性に関して重要な安心感を得ました。同社は、Next.jsやTurbopackのような主要なオープンソースプロジェクトが、セキュリティインシデントの影響を全く受けていないことを明確に確認しました。この明確なコミュニケーションは、これらの広く採用されているフレームワークに依存する広大な開発者エコシステム内での信頼を維持するのに役立ち、コアツール自体に対する広範なパニックなしに、継続的な開発が可能であることを保証しました。

危機の間、Vercelはユーザーベースとより広範な技術コミュニティに対して高い透明性を維持しました。同社は、インシデント、その調査結果、および脆弱性に対処しセキュリティを強化するために取られた広範な手順を概説した詳細なVercel Bulletinを公開しました。公式チャネルを通じて提供されたこの積極的かつ一貫したコミュニケーションは、認識を管理し、侵害後に必要な行動（侵害された非機密のAPIキーのローテーションやOAuthアプリの権限の確認など）についてユーザーを導く上で効果的であることが証明されました。Vercelの明確な更新は、ユーザーが侵害の正確な範囲と、将来の発生を防ぐために実施された堅牢な対策を理解するのに役立ちました。

Vercelのインシデントは、すべてのユーザーに即座の対応を求めます。Vercelにデプロイされているすべての機密性の低い環境変数が侵害されたと仮定してください。これは、Vercelプロジェクト内だけでなく、元のソースで関連するすべてのキー、トークン、資格情報を積極的にローテーションすることを意味します。

プロジェクトを削除するだけでは、基盤となるキーがアクティブなままであればリスクは軽減されません。Google Workspace内で承認されたOAuthアプリケーションを積極的に監査してください。攻撃者は、侵害されたContext.aiのOAuthトークンを利用してVercelのシステムに侵入しました。これは、過剰な権限を持つサードパーティ製アプリの危険性を浮き彫りにしています。

組織がレガシーなAI Office Suiteを使用していた場合は、特にContext.aiのアプリIDを探してください。未使用、不審、または過剰な権限を持つアプリケーションの権限を取り消してください。この重要なステップは、同様のサプライチェーンの脆弱性が接続されたサービスを悪用するのを防ぎます。

これらの権限を定期的に見直すことは、重要なセキュリティ衛生習慣を確立します。Vercelの堅牢なDeployment Protection機能を実装して、不正アクセスからビルドを保護し、承認された変更のみが公開されるようにしてください。Vercelのアクティビティログを頻繁に確認し、異常なアクセスパターンやデプロイがないか確認してください。

Vercelはその後、すべての新しい環境変数を機密としてデフォルト設定しましたが、既存の機密性の低い変数はローテーションされない限り脆弱なままです。この侵害は、Robloxのハッキングから主要なプラットフォームの侵害に至るまで、一見軽微に見えるセキュリティの不備でさえも連鎖的な影響を及ぼすことを浮き彫りにしています。Lumma Stealerの機能に関するより深い技術的洞察については、Lumma Stealer: Breaking down the delivery techniques and capabilities of a prolific infostealer | Microsoft Security Blogを参照してください。

このインシデントは、たった一人の従業員の過失が世界的なセキュリティ危機を引き起こす可能性があるという厳しい警告です。今日の相互接続されたデジタル環境において、警戒、最小権限の原則、継続的な監査は不可欠です。今すぐ断固たる行動を取り、プロジェクトを保護してください。

このインシデントは、テクノロジー業界全体に厳しい多層的な教訓を与え、サイバーセキュリティ専門家にとっての戦場を根本的に再定義します。単一の侵害されたデバイスから生じる深刻な波及効果を鮮明に露呈し、個人的なゲームのショートカットがどのようにして高度な企業侵害と200万ドルの身代金要求につながるかを示しています。現代のデジタルインフラは、最も取るに足らないように見える接続と同じくらいしか回復力がなく、Lumma Stealerマルウェアが最初のデジタルこじ開けツールとして機能しました。

Context.aiを介して開始されたVercelへの攻撃は、サプライチェーン攻撃の脅威がエスカレートしていることを完璧に示しています。正当なAIツールベンダーであるContext.aiは、攻撃者がVercelの内部システムに侵入するための意図しない経路となりました。企業は、自社のセキュリティ体制が最も弱いサードパーティパートナーと同じくらいしか強力ではないことを認識し、ベンダーのセキュリティ慣行の継続的な精査と監視を必要とします。この相互接続性により、チェーン内のどこかで侵害が発生すると、下流のすべてが危険にさらされる可能性があります。

「過剰な権限を持つ」サードパーティ製アプリケーションから重大な脆弱性が生じました。Vercelの従業員が、正当な製品であるContext.aiのレガシーなAI Office Suiteに「すべて許可」の権限を付与したことが、攻撃者にとって重要なOAuthトークンを提供することになりました。機能するために広範なデータアクセスを要求することが多い、急速に拡大するAIツールエコシステムは、このリスクを劇的に増大させます。新しい統合ごとに潜在的な攻撃対象領域が導入されるため、厳格な審査、最小権限の原則の順守、および環境変数のような機密データへの不正アクセスを防ぐための付与された権限の頻繁な監査が求められます。

最終的に、人的要因が最も重要な防御層であり続けます。この侵害は、あらゆる組織における普及したセキュリティファーストの文化の絶対的な必要性を強調しています。マルウェアやフィッシングの試みを特定することから、許可されていないソフトウェアのインストールや、特に会社のノートパソコンなどの業務用デバイスでの過剰な権限付与の影響を理解することまで、堅牢で継続的な従業員教育が不可欠です。次の大規模な侵害を防ぐには、情報に通じ、警戒心のある従業員から始まり、個人の決定が意図せず企業セキュリティを危険にさらさないようにすることが重要です。

Vercelのセキュリティ侵害の原因は何ですか？

この侵害は、サードパーティベンダーであるContext.aiの従業員が、Lumma Stealerマルウェアを含むRobloxのハックをダウンロードしたことから始まりました。このマルウェアは認証情報を盗み出し、攻撃者はそれを利用してContext.aiのシステムにアクセスし、Vercelの従業員のOAuthトークンを盗み、Vercelの内部システムへのアクセス権を得ました。

Lumma Stealerマルウェアとは何ですか？

Lumma Stealerは、感染したコンピューターからブラウザのセッションCookie、企業の認証情報、暗号通貨ウォレットなどの機密データを収集する強力な情報窃取マルウェアです。ゲームチートのような偽装されたダウンロードを通じて配布されることがよくあります。

Vercelの顧客の環境変数は漏洩しましたか？

Vercelは、攻撃者が一部の顧客の機密ではない環境変数にアクセスしたことを確認しました。「機密」として明示的にマークされた環境変数は暗号化されており、侵害されませんでした。Vercelはそれ以来、すべての新しい変数に対して「機密」をデフォルト設定にしました。

Vercelの侵害の背後にいた攻撃者は誰ですか？

悪名高い「Shiny Hunters」を名乗るグループが盗まれたデータを販売し、200万ドルの身代金を要求しました。しかし、実際のShiny Huntersグループは関与を否定していると報じられており、犯人は彼らの名前を騙る偽者である可能性が示唆されています。