概要
Vercelは、人気の開発プラットフォームですが、2023年5月1日、顧客データの一部流出につながるセキュリティインシデントが発生したことを発表しました。この侵害は、Vercelのコアインフラからではなく、サードパーティの分析ベンダーシステムへの侵害が発端です。攻撃者はVercelの内部連携に関連するAPIトークンを盗み出し、これを用いてVercelの内部システムへ不正アクセスしました。これにより、Vercel従業員のGitHubアカウントが侵害され、結果として一部の顧客プロジェクトの「暗号化された環境変数」およびVercel GitHubトークンが露呈しました。開発ツール間の相互接続性のため、このインシデントは侵害されたGitHubアカウントを通じてCircleCIへのアクセスにも影響を及ぼした可能性があります。
洞察
このインシデントは、現代のソフトウェア開発エコシステムにおけるサプライチェーン攻撃の広範なリスクに対する重要な洞察を提供します。一見すると周辺的な存在に見えるサードパーティの分析ベンダーの侵害が、最終的にVercelの内部システムと顧客データへの侵入経路として機能しました。これは、統合されるすべてのサービスに対する堅牢なセキュリティ審査の必要性を浮き彫りにします。Vercelは環境変数が「暗号化されていた」と述べていますが、その露呈は攻撃者が復号手段にアクセスできた可能性を示唆しており、データ暗号化と並行したセキュアな鍵管理の極めて重要な側面を強調しています。さらに、このインシデントは、単一の侵害された認証情報が引き起こす波及効果を明らかにしました。従業員のGitHubアカウントへのアクセスは、より広範な横方向への移動と、CircleCIのような他のリンクされた開発者サービスへの潜在的なアクセスを可能にし、すべての統合プラットフォームにおける詳細なアクセス制御、最小特権の原則、および多要素認証の必要性を強調しています。
影響と対策
侵害を発見するやいなや、Vercelは即座に断固たる措置を講じました。関連するすべての認証情報を迅速にローテーションし、すべてのアクティブなVercel GitHubトークンを失効させ、継続的なリスクを軽減するため全ユーザーに対しグローバルな強制ログアウトを実施しました。影響を受けた顧客、特に環境変数が露呈した顧客には、直接メール通知が行われました。Vercelはまた、インシデントを徹底的に調査し、防御を強化するため、独立したセキュリティ監査を開始しました。顧客にとっての主な影響は、Vercelプロジェクト内に保存されている機密性の高い環境変数、APIキー、その他のシークレット、およびVercel統合に使用されているGitHubトークンを緊急にローテーションする必要があることです。この出来事は、すべての組織に対し、サードパーティベンダーの定期的なセキュリティ監査、APIキーとトークンの厳格な管理、そして高度化するサプライチェーンの脆弱性から保護するためのすべてのユーザーアカウントおよびサービスアカウントに対する多要素認証の義務化を含む、包括的なセキュリティ対策を実施するよう強く促すものです。
Source: https://www.theverge.com/tech/914723/vercel-hacked