開発者向けのホスティングおよびデプロイメントインフラストラクチャを提供する人気のクラウドプラットフォームである**Vercel**は、攻撃者がシステムへの不正アクセスを主張した後、セキュリティインシデントを公表しました。 Vercelは、広く使用されているReactフレームワークである**Next.js**の開発や、サーバーレス関数、エッジコンピューティング、CI/CDパイプラインなどのサービススイートで広く認識されています。 ### セキュリティ速報 本日公開されたセキュリティ速報で、**Vercel**は、限定的な顧客サブセットが侵害の影響を受けたと述べています。 「特定の内部Vercelシステムへの不正アクセスを伴うセキュリティインシデントを特定しました」と**Vercel**は警告しています。同社は積極的に調査を進めており、インシデント対応専門家を起用し、法執行機関に通知しました。サービスは影響を受けていないと保証しており、影響を受けた顧客と直接協力しています。 **Vercel**は、顧客に対し、環境変数をレビューし、機密環境変数機能を利用し、必要に応じてシークレットをローテーションすることを推奨しています。 ### ハッカーの主張と告発 この公表は、攻撃者が「**ShinyHunters**」と名乗り、不正に取得されたとされる**Vercel**データへのアクセスを提供すると主張する、ハッキングフォーラムでの投稿に続くものです。 最近の攻撃で**ShinyHunters**恐喝グループに起因するとされる個人が、BleepingComputerに対し、このインシデントへの関与を否定していることに注意することが重要です。 ハッカーは、アクセスキー、ソースコード、データベースデータ、内部デプロイメント、および**NPM**や**GitHub**トークンを含むAPIキーを販売していると主張しています。 「これはLinearからの証明にすぎませんが、これから提供するアクセスには、複数の従業員アカウントと、いくつかの内部デプロイメント、APIキー（一部のNPMトークンやGitHubトークンを含む）へのアクセスが含まれます」とフォーラムの投稿には書かれています。  **Telegramで攻撃者が共有したフォーラム投稿のスクリーンショット** 攻撃者はまた、名前、メールアドレス、アカウントステータス、アクティビティタイムスタンプを含む580人の**Vercel**従業員に関する情報を含むテキストファイルと、内部**Vercel** Enterpriseダッシュボードと思われるもののスクリーンショットを共有しました。 BleepingComputerは、データの真正性またはスクリーンショットを独立して検証していません。 Telegramメッセージで、攻撃者は**Vercel**に連絡し、200万ドルの身代金要求の可能性について交渉したと主張しました。 BleepingComputerは、公開されたデータ、認証情報、および身代金交渉に関する明確化を求めて**Vercel**に連絡しており、入手可能になり次第、アップデートを提供します。