クラウド開発プラットフォーム「Vercel」は、ハッカーが窃取したデータを販売しているとの主張を受け、セキュリティインシデントを公式に認めました。同社は本日発表したセキュリティ公告で、内部システムの不正アクセスがあり、限られた数の顧客が影響を受けたと発表しました。Sam Altman CEO は GPT-4o の紹介などとは異なり、今回の件では特定の個人名ではなく、会社全体として調査中の事実を伝えています。Vercel は現在、インシデント対応の専門家を迎え、調査と修復活動を急ピッチで進めており、法執行機関にも報告済みです。同社はサービスの利用自体には影響がないとし、被害を受けた顧客へのサポートを継続していると強調しています。具体的な対策として、顧客に対し環境変数の見直し、機密情報機能の活用、必要に応じてシークレットのローテーションを促しています。今回の発覚の契機は、ハッカー集団「ShinyHunters」を名乗る犯行グループが、セキュリティフォーラムで Vercel のデータ売却を宣言したことです。犯行グループは、従業員アカウントへのアクセス権限や、NPM、GitHub などの API キー、ソースコード、データベース情報などを販売していると主張しました。また、580 件の従業員情報を含むテキストファイルと、社内エンタープライズダッシュボードのスクリーンショットを公開し、身代金として 200 万ドルを要求していたと報じられています。しかし、従来の「ShinyHunters」としての攻撃事案に関与しているとされる他の犯行グループは、今回の事件への関与を否定しており、データやスクリーンショットの真偽は現時点では独立して確認できていません。メディアは Vercel へ、機密情報の漏洩有無や身代金交渉の有無について問い合わせを行っており、今後の調査結果次第で詳細が明らかになる見込みです。この事件により、JavaScript フレームワーク Next.js の開発元である Vercel の信頼性が問われ、開発コミュニティにおけるセキュリティ意識の再確認が促されています。