業務効率化に欠かせないAIツールが、今度は攻撃の踏み台になりました。
2026年4月、クラウドプラットフォームのVercelが顧客データの流出を公表しました。攻撃の起点は、従業員が利用していた第三者製AIツール「Context.ai」の侵害です。
この記事でわかること:
- Context.ai経由でどのようにVercelが侵害されたか
- OAuthトークンを悪用したサプライチェーン攻撃の手口
- Vercelが講じた対応策と、企業が取るべき教訓
何が起きたか
Vercelは顧客データの盗難を確認し、その原因を「第三者製AIツール経由のアクセス取得」と発表しました。
被害の規模はVercel自身が「かなり限定的な数の顧客」と説明しており、機密データの漏洩は確認されていないとしています。しかし攻撃の手口は、AI時代特有のサプライチェーンリスクを鮮明に示すものでした。
2段階で進んだ攻撃の手口
攻撃は次の流れで進みました。
第1段階:Context.aiの侵害
Context.aiはAIを活用したオフィス業務支援ツールです。2026年3月、このContext.aiがAWSへの侵害を受け、ユーザーのOAuthトークンが漏洩しました。
第2段階:OAuthトークンを使ったアカウント乗っ取り
Vercelの従業員はContext.aiを業務で使用していました。Context.aiから漏洩したOAuthトークンを手に入れた攻撃者は、そのトークンを使って従業員のGoogleアカウントに侵入。Google Workspaceへのアクセスを経由して、Vercelの内部システムに到達しました。
この手口の恐ろしさは、Vercel自体のセキュリティを直接破ったのではなく、信頼済みの外部ツールを迂回路として使った点にあります。
OAuthトークンとは
OAuthトークンとは、あるサービスが別のサービスに代わって操作する権限を示す認証情報です(例:Context.aiがGoogleカレンダーを読み書きする権限)。
一度漏洩すると、パスワードなしで本人になりすましてサービスを操作できます。多要素認証をすり抜けるケースも多く、近年の標的型攻撃で頻繁に悪用されています。
Vercelが講じた対応策
Vercelは侵害を受け、以下の対応を実施・推奨しました。
- Google Workspaceの管理者に対し、悪意のあるアプリケーションの確認を促す
- 環境変数のレビューと、非機密データへの置き換え
- デプロイメント保護バイパストークンのローテーション
- 疑わしいデプロイメントの削除
さらにVercelは、機密性の高い環境変数を安全に管理するダッシュボード機能の改善も進めています。
3つの教訓
今回の事件は、AI活用が加速する現在において広く示唆を持ちます。
1. 外部ツールのOAuth権限を定期的に棚卸しする
「このツールに何の権限を与えているか」を把握していない企業は多いです。Google WorkspaceやMicrosoft 365の管理コンソールから、接続済みアプリの一覧と権限スコープを定期的に確認しましょう。
2. 最小権限の原則を外部ツールにも適用する
AIツールに「全メール読み取り」や「全ファイルアクセス」を与えるのは過剰です。業務に必要な最小限のスコープに絞ることで、漏洩時の被害範囲を限定できます。
3. AIツールのベンダー審査を強化する
新しいAIツールを導入する際は、そのベンダー自身のセキュリティ体制を確認する必要があります。クラウドインフラの構成、過去のインシデント対応、SOC 2認証の有無などがチェックポイントになります。
まとめ
Vercel侵害は、自社のセキュリティを堅固にするだけでは不十分な時代を示しています。利便性の高いAIツールが増えるほど、外部サービスへの依存が増え、攻撃面も広がります。
「便利だから使う」の前に、「どんな権限を渡しているか」を意識する習慣が、企業のセキュリティを守る第一歩です。