なんだよ、Robloxのチートかよ…息子がRobloxのチートにやられたときも最悪だと思ったけど、あいつらはただゲームパスのクッキーを奪って、Minecraftのライセンスを4つ買っただけだった。MSはすぐに返金してくれたけどね…

つまり、Vercelはティーンエイジャーのスクリプトキディたちにハッキングされたってことだね。でも、ポジティブな面もあって、近いうちに逮捕者が出るかも。

そうだね、ゲームのチートが最初から動くのが気になる。これらの企業はデバイスコントロールを持ってないの？それとも気にしてないの？従業員がLastPassのPlexみたいなことをした感じがする。

> どれくらいの開発者がそのチェックボックスの存在を知ってたと思う？ どれくらいの人がデータベースの認証情報やAPIキーがデフォルトで暗号化されていると思ってた？ アスタリスクが見えない限り、秘密が入ってるフィールドは保存しないね。もしかしてプログラム的に設定してたのかな？ でも、何らかの秘密のフラグを渡すべきだよね。Vercelみたいな会社がこんな問題を抱えるのは変だよ。

こういう入力欄には誰かが敏感なデータを入れるだろうって思わなきゃダメだよ。デフォルトで暗号化するのが唯一の賢い選択だね。

橋を作ったときに、橋のエンジニアに支えを強化するのを忘れたか聞く？ セキュリティについて知らなかったときでも、これは基本的なことだったよ。平文で敏感なものを保存してる人たちが、自分の悪い習慣が返ってきたことに怒ってる。今、被害者を責めてるみたいに聞こえるかもしれないけど、Vercelもこの狂気に対して責任を負ってると思う。でも、まあ、FAFOってことで。

これ、すごくAI生成っぽいね。著者が文法をちょっとおかしくして隠そうとしたとしても。正確性が下がるかどうかはわからないけど。

なんでダウンボートされてるのか分からない。この記事はAIのブログスパムで、例えば https://www.darkreading.com/application-security/vercel-empl... みたいな事実情報は全然ないし、空っぽのLLM用語が満載だよ。こんなのを読む人がいるのが悲しい。

私も同じことを思った。普通の人はそんな書き方しないよね。

著者のサイトはVercelにあるから、著者はこの問題に対して理解を深めたいと思ってるだろうし、AIだけでは得られない経験があると思うよ。

確かにLLMの文章だけど、全部がそうってわけじゃないかも。著者が一部を書き直したのかもね。気になるのは、HNみたいなサイトでも、LLMに詳しい人が多いのに、通ってしまっていること。これが普通になってしまうのは嫌だけど、AI生成の投稿が真剣に反応されるのはこれが初めてじゃないからね（部分的にAI生成のものも含めて）。AI生成のコードには慣れてるけど、LLM生成の文章がフロントページを占めるのは本当に嫌だな。

読むのをやめなきゃいけなかった。LLMの表現に過敏になっちゃったから。これは明らかに「ChatGPT、この記事をカジュアルなトーンで書き直して」って感じで、実際の著作権はほとんどないよね。HNではこういうことに対して一次情報を探すべきだと思う。

この記事で「ブラウザの確認に失敗しました」ってエラーが出てるんだけど。

皮肉なことに、Vercelでホストされてるんだよね :D

これは正確じゃないと思う。Vercelの環境変数はすべて保存時に暗号化されてる（彼らの側で）。「センシティブ」チェックボックスは、一度設定したらその値を取り出せないって意味で、これがあれば助かったのに。あと、こういう記事を読むのにソースのリンクが一つもないのはイライラするね。

一部の顧客の環境変数が漏れたのは明らかだから、それは暗号化されてないってことだよね？

ここでの「センシティブ」の意味については間違ってると思う。私の知る限り、Vercelの環境変数は全て暗号化されてるよ。センシティブのチェックボックスは、開発者がその環境変数の値を見れないようにするためのものなんだ。書き込み専用の値ってこと。アプリだけがその値を見れるし、環境変数を通じてアクセスするから、アプリが見れないように暗号化することはできない。そうじゃないと意味がないからね。もしそのボックスにチェックを入れなかったら、プロジェクトのUIで値を見れる。それはほとんどの設定値にとっては合理的だよ。「DEFAULT_TIME_ZONE」とか想像してみてよ。隠す意味はないし、トラブルシューティングの時に面倒になるだけだよ。だからセンシティブってのは暗号化されてるってことじゃなくて、UIが開発者に更新後の値を見せないってこと。センシティブじゃないってことは、まだ見えるってことだね。で、これがUIの話だけだと思うけど、両方ともバックエンドでは暗号化されて保存されてるはず。私はVercelで働いてるわけじゃないけど、ちょっと使ったことがある。彼らを嫌う理由はあると思うけど、この特定の点はストローマンに見えるね。

これ、他のクラウドプロバイダーも同じようにやってるよ、例えばDigitalOceanとか。

Vercelでどう動くかはわからないけど、他のプラットフォームでは通常、値がログからも隠されることを意味するよ。

漏洩があったときに「暗号化されてるべきだった！」って叫ぶ人がいるけど、暗号化が何をできるか、何をできないかを理解してないんだよね（暗号化は「安全」や「セキュア」の同義語じゃないから）。

僕の職場ではVaultを使い始めて、ボールトキー（ルックアップキーみたいなもの）を普通の非隠蔽環境変数として保存してるよ。これの方が多分しっかりしてると思う。

> アプリだけが環境変数を見れる（当然、アプリが見れないように暗号化することはできないから、そうじゃなきゃ無意味だよね） うん、すごく混乱してる。プログラムが必要とする環境変数を暗号化するのは不可能だよ。たとえ保存時に暗号化されていても、プログラムを始める前に復号化しなきゃいけないから。環境変数はプレーンテキストで注入されるんだ。これがどういう仕組みかで、Vercelとは関係ないよ。この状況は、完全同型暗号化が実現すれば改善するかもしれないけど（サーバーがデータを復号化せずに暗号化されたままで操作する）、それにはプログラム全体にかなりのオーバーヘッドがかかるから、現実的じゃない（まだね）。

でも、もし「開発者」に読めるなら、開発者のVercelの認証情報にアクセスできる人なら誰でも読めるってことだよね。Vercelがそれを回避する方法を提供してたのに使われなかったなら、それが失敗だよ。確かに、著者が「暗号化されていたかどうか」をめぐって細かいことを言うのはありだけど、ここではそれが重要な要素じゃないよ。

簡単に指摘してスケープゴートにしたくはないけど、正直言って、Context.aiの社員が自分の仕事用のマシンでゲームをするのが良いアイデアだと思ったのはどうなるべきなんだろう？しかも、定義上疑わしい出所のチートをインストールしてるし。防御の深さやセキュリティレイヤーについてはわかるけど、ここには個人の責任もあると思う。Vercelの社員のミスは、会社全体や管理の防御の深さの失敗として片付けられるかもしれないけど、チートをインストールするのは…

そうだよね。これは「RobloxのチートとAIツール」じゃなくて、二つの組織での基本的なオペレーショナルセキュリティの失敗だよ。一方のContext.aiの社員は、駐車場でお尻を蹴られるべきだね。

AIを導入している企業のオペセクは全体的に低いよ。今のところ、セキュリティは決定的な要素じゃないからね。2年前のマクドナルドの漏洩を見てみなよ。

むしろ、ユーザーに好きなソフトをインストールさせたIT部門を責めるべきだね。

それはここでの要因の一つに過ぎないよ。確かにそれは悪いけど、他のシステムのセキュリティが自分の仕事用ノートパソコンがハッキングされないことやスパイウェアがインストールされないことに依存するべきじゃない。もしそれが唯一の防御なら、問題が起きるよ。

実際にその従業員が仕事用のマシンにダウンロードしたって知ってる？少なくともこの記事にはそう書いてないし、他の情報源でも見つけられなかったよ。多くの会社は、VPNを使って企業ネットワークに接続したり、公共のインターネットから特定の内部システムにログインすることを許可してる。そうすべきだとは言わないけど、思っているよりもずっと一般的だよ。参考までに、ディズニーがハッキングされた経緯を見てみて。一人の従業員が個人用コンピュータに侵害されたソフトをダウンロードしたんだ。それが次々に繋がって、ドカンって感じ。多くの企業のITは思っているよりも無能だよ。自分もそれを直接見てきたから。

予想するに、ただのGoogle WorkspaceアプリじゃなくてGmailだったんじゃないかな。攻撃者は被害者の受信トレイに広くアクセスできたみたいだし、その後、マジックリンクやワンタイムコードを使っていくつかの内部システムにログインできたんだ。なんで2FAがないのかって疑問が浮かぶよね？そして、なんでそんなに広いアクセス権があったのかも。もしそうじゃないなら、考えられるのはAPIの認証情報がGoogle Workspaceに保存されてた可能性だけど、それは可能だけど変だよね。

それがRobloxのチートだったっていう主張の出所はどこ？この記事の最初にリンクされている報告書やContext.ai、Vercelの通知にはそんなこと書いてないよ。

Trend Microの報告書が正しいとすれば、タイムラインもおかしいよね。キャッチーな見出しにはなるけど、ここでは確実に情報源が必要だよ。