ハクソク

世界を動かす技術を、日本語で。

Vercelが内部システムが侵害されたと発表

4時間前原文(decipher.sc)

概要

  • Vercelが内部システムへの侵害を公表
  • 影響範囲は「一部顧客」に限定
  • 詳細は調査中で、インシデント対応専門家が関与
  • 顧客には環境変数のローテーションや監査ログの確認を推奨
  • ShinyHuntersグループとの関連も指摘

Vercelの内部システム侵害について

  • Vercelは、アプリ開発・デプロイのための広く利用されるクラウドプラットフォーム
  • 2024年6月、同社の内部システムが不正アクセスを受けたことを公表
  • 影響は「限定的な一部顧客」に留まるとの説明
  • インシデント発覚は日曜日、即座にインシデント対応ベンダーを招集
  • 侵害の詳細は現時点で不明、調査継続中

顧客への推奨対応

  • 監査ログの確認による不審なアクティビティの検出
  • 環境変数のローテーションによる情報漏洩リスク低減
  • Sensitive environmental variables機能の活用推奨
    • APIキーなどを「sensitive」としてマーク
    • Vercel側で不可読形式での保存が可能

公式声明と対応状況

  • 特定の内部システムへの不正アクセスを確認」
  • インシデント対応専門家と連携し調査・対策を進行中
  • 法執行機関にも通報済み
  • 影響を受けた顧客には個別に連絡を実施

ShinyHuntersグループとの関連

  • オンライン上では、ShinyHunters脅威グループとの関連性が指摘
    • ソーシャルエンジニアリングや脆弱性悪用による侵入が特徴
    • 金銭的要求やデータ・システムアクセスの販売を行う傾向

未公表の詳細

  • どのシステムが侵害されたか、影響顧客数については非公表
  • 調査進展次第、公式ページで随時更新予定

Hackerたちの意見

重複だね。他のスレッドにコメントがあるよ: https://news.ycombinator.com/item?id=47824463
投稿に載ってる元のリンクもほぼ同じ内容だね: https://vercel.com/kb/bulletin/vercel-april-2026-security-in...
vercelを使う理由って何なの?最近、月5ドルのCloudflareでかなり価値を感じてるけど、2015年からダウンタイムゼロのトリプルデジットRAMのベアメタルボックスもあるんだよね。
彼らの市場はワンクリックデプロイメントだと思う。非技術者やインフラを扱いたくない人向けかもね。
新人には無料だし、もちろん罠だけど、フリーミアムモデルは人を引き寄せるよね。AWSは2〜3回のミスで簡単に数千ドルかかるし、vercelは最初は無料で、成長したら10倍〜100倍のAWS料金を請求される。
無料のテンプレートを使ってNext.jsで作ってるから、サーバーが必要なんだよね。ローカルでは問題なく動くけど、デプロイしようとすると、いきなり4GB RAMのマシンが必要になる。だから、簡単だからVercelで無料ホスティングするんだけど、30秒以上の分析をチェックしたくなると、いきなり有料になる。
多くの人にとって、Next.jsを使ったときのデプロイの簡単さが魅力だと思う。今はastroに切り替えて、Cloudflareもたくさん使ってる。前はAWSでsst.devを使ってOpenNextやってたけど、だんだん面倒になってきた。
開発体験。エフェメラルデプロイ。そこそこ良い可視性。そこそこ良いCIオプション。寛大な無料プラン。
開発者体験がめっちゃ良い。CDNやインクリメンタルページ再生成、画像パイプライン、可観測性など、いろいろな機能が最初から揃ってる。サーバーの管理も必要ないし。ただ、他のところに移るつもりなんだ。ベンダーロックインはあまり良くないし、インフラはEUに置いておきたいからね。
Next.jsが「現代的なウェブサイトの作り方」だって、多額のVC資金を使って人々を納得させたんだよね。で、タイミングよくLLMが流行り始めたときに、次々と新しいウェブサイトを作る際にデフォルトで使われるようになった。VC資金の規模を考えると、彼らはシリーズFにいて、その大部分がマーケティングに使われた。人々がそれが仕事に対して適切なツールでないことに気づくにつれて、両方とも変わってきてるし、LLMもより賢くなって、求められているものに応じて他のより良い選択肢を提案するようになってる(特にClaude Opus)。
現在の会社に移ってから数年前に使い始めたんだけど、結構好きになったよ。Cloudflareに移るのも選択肢だけど、今はうまく動いてるから面倒くさい。コストはゼロじゃないけど、今のところ特に問題はないし、3席持ってるから高すぎるってこともない。セットアップも早いし、ほんとにうまく動いてる。うちはすごく小さいチームだから、日常的にこれを扱わなくていいのは貴重だよね。今の状況は問題だけど、こういう問題がないプラットフォームがどれかは分からない。みんな、自分には起こらないって思ってるけど、実際には起こるからね。
自分がガスライティングされてるって気づくのに時間がかかる。
CloudflareでNext.jsアプリをホストできるの?
Glasswingから欠けてるもの
Claude Codeが特定の推奨プロバイダーやフレームワークにデフォルト設定されてるのは、ウェブをより均質化させてるし、その多様性の欠如がインシデントの影響範囲を広げてるよね。[0] https://amplifying.ai/research/claude-code-picks/report
いい指摘だけど、ここでの問題はClaudeじゃないと思う。使い方なんだよね。開発者がClaudeに決定を任せないように導く必要がある。決定を導く手助けはできるけど、最終的には正しい選択かどうかを考えるのは自分自身だから。これは他のチームメイトと一緒に働くのと変わらないよ。