Vercel社が侵害される — 入口となったのは社員が使う「AIツール」

4月20日
読了時間: 4分

2026年4月19日、Webサービスのホスティングを手掛ける米Vercel社が、内部システムへの不正アクセスを受けたことを公表しました。侵入の入口となったのは、社員が業務で利用していた外部のAIツールでした。AIの業務活用が広がる現在、これまで見落とされがちだった新しい攻撃経路が現実化した事例として注目されています。

そもそも何が起きた？

Vercel社の発表によると、攻撃者はまず社員が業務で使っていた「Context.ai」という外部のAIツールを侵害しました。そこを足がかりにその社員のGoogle Workspaceアカウントを乗っ取り、さらにそのアカウントを経由してVercel社内のシステムに侵入しています。最終的には、Vercel上で稼働する一部顧客の環境設定情報（データベースのパスワードや外部サービスのAPIキーなど、サービス運用に必要な機密情報）にアクセスしたとされています。

Vercel社は調査にあたり、Mandiantをはじめとする複数のセキュリティ専門会社や捜査機関と連携。攻撃者については「運用速度とVercelシステムへの理解度の高さから、極めて高度な攻撃者と評価される」と発表しています。組織的かつ計画的な攻撃であったことが伺えます。

なぜ怖いのか？ — 「直接攻撃されていない」のに被害

今回最も注目すべきは、Vercel社が直接攻撃されたわけではないという点です。社員が業務効率化のために導入した外部AIツールが破られ、それが連鎖的にVercel本体への侵入に繋がりました。

多くのAIツールはGoogleやMicrosoftアカウントでサインインできるため、利便性と引き換えに、ツール側が破られた瞬間、本来守るべきクラウド環境まで被害が及ぶ構造になっています。例えるなら、信頼してマスターキーを預けた外部業者の事務所に泥棒が入り、そこから業者が管理する全ての建物の鍵が盗まれてしまうような状態です。

これは「サプライチェーン攻撃」と呼ばれる手法の典型例で、自社の防御をいくら強化しても、取引先や利用ツールが破られれば被害を受ける可能性があります。

影響範囲は？

直接の被害は、Vercel社のホスティングを利用する一部の顧客に限定されています。Vercel社は「機密」フラグを設定していた環境変数については保護されたと発表しており、被害は限定的なものに留まる見込みです。

一方で、この侵入手口そのものは業界・業種を問わず再現可能です。ChatGPT、Claude、Notion AI、Microsoft Copilotなど、業務にAIツールを利用するすべての企業が、同じ構造のリスクを抱えていると言えます。導入しているAIツールが多いほど、攻撃者が狙える入り口は広がっていきます。

「AI開発ツール」を導入している企業も無関係ではない

近年、開発現場ではClaude Code、Cursor、Devin、GitHub Copilotといった「AIコーディングアシスタント」の活用が急速に広がっています。これらのツールは、Gmail・Google Drive・Notion・Slackなど多数の業務システムと深く連携して動作するのが一般的で、開発生産性の向上に大きく貢献しています。

一方でこれらのAIアシスタントには、機能を拡張するための「拡張機能」や「プラグイン」（MCPサーバーと呼ばれる仕組み）を追加できる構造が備わっており、ここに第三者が開発したものを組み込んで使うケースも増えています。もしその拡張機能に悪意あるコードや「プロンプトインジェクション」と呼ばれる隠し命令が仕込まれていた場合、AIアシスタントを経由して、連携している業務システム全体が攻撃の対象になります。

これはVercel事件で起きた「外部AIツールが侵入の入口になる」のと、ほぼ同じ構造です。AIに広い権限を与えるほど、その経路で守るべき情報まで届く距離は短くなります。「うちはVercelを使っていない」「うちはまだAIを本格導入していない」と感じている企業でも、社員が個別にコーディングAIや業務AIアシスタントを使い始めていないか、点検が必要です。