暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
tag
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
SpaceX Pre-IPOs
報酬

Vercel と GitHub が npm のサプライチェーンのセキュリティを確認し、パッケージは改ざんされていません

MarketWhisper

Vercel npm供應鏈安全

Vercelの公式アカウントは2026年4月21日に、GitHub、Microsoft、npm、Socketの4者で共同照合した後、npm上でVercelが公開しているすべてのパッケージが改ざんされていないことを確認し、サプライチェーンは引き続き安全であると発表しました。同日更新されたセキュリティ公告では、今回の事案で漏えいしたのは「機密」ではない顧客の環境変数であり、バックエンドで復号した後に平文の形式で保存されていたことが示されています。

npmパッケージは改ざんされていない:4者による共同照合結果

Vercelの2026年4月21日の告知によると、VercelはGitHub、Microsoft、npm、Socketと連携して共同照合を完了し、Vercelがnpm上で保守しているすべてのオープンソースパッケージが改ざんされていないことを確認しました。前述のパッケージにはNext.js、Turbopack、SWRなどが含まれ、月間のダウンロード数は数億回にのぼります。

セキュリティインシデントの原因と影響範囲

VercelのCEO Guillermo Rauchの声明によると、従業員アカウントがContext.aiプラットフォームに侵入され、情報が漏えいしました。Context.aiはVercelの環境と統合され、デプロイ(配備)レベルのGoogle Workspace OAuth権限を付与されていました。攻撃者は、Context.aiが侵害された後、この権限を通じて特権アクセスを取得し、さらにVercelの環境リソースを列挙することでアクセス範囲を拡大しました。

更新されたセキュリティ公告によれば、漏えいしたのは「機密」としてマークされていない顧客の環境変数です(バックエンドで復号した後に平文で保存)。さらにデータが持ち出されたかどうかについて、Vercelは引き続き調査しています。公告はまた、Vercelのプロジェクトやアカウント自体を削除してもリスクを解消できず、攻撃者が取得した資格情報(クレデンシャル)は本番システムに直接接続できるため、鍵のローテーションを最優先で完了させる必要があると説明しています。

Vercelによれば、影響を受けた顧客の数は限られており、複数の機関にまたがる数百人のユーザーが対象です。現時点で通知を受けていないユーザーについては、Vercelのアカウント資格情報や個人情報が漏えいしたと考える理由はありません。VercelはMandiant、その他のサイバーセキュリティ企業、ならびに捜査当局と連携して調査を進めています。

製品アップデートと顧客向けアクション推奨

Vercelのセキュリティ公告によると、4月21日に同時にリリースされた製品アップデートには以下が含まれます:新規作成する環境変数のデフォルト設定が「機密」(sensitive: on)に変更;Dashboardに、より密度の高いアクティビティログのインターフェースと、チーム単位の環境変数管理を追加;セキュリティ推奨の「二要素認証の有効化」が最優先事項として挙げられています。

Vercelの顧客向け具体的なアクション推奨は次のとおりです:

· Google Workspaceアカウントのアクティビティで、Vercelが指定するOAuthアプリを確認する

· すべてのAPIキー、トークン、データベース資格情報、または署名キーを含む環境変数をローテーションする(以前に「機密ではない」とマークされていた場合でも)

· 機密変数の保護を有効化し、直近のデプロイに異常がないか確認する

よくある質問

Vercelのnpm上のパッケージは改ざんされましたか?

Vercelの2026年4月21日の告知によると、VercelはGitHub、Microsoft、npm、Socketの4者と共同照合を行い、Next.js、Turbopack、SWRなどを含むすべてのパッケージが改ざんされていないことを確認しました。サプライチェーンの安全性は完全に保たれています。

今回のVercelセキュリティインシデントの原因は何ですか?

VercelのCEO Guillermo Rauchの声明によると、攻撃の起点は第三者のAIツールContext.aiの侵害です。Context.aiはそれ以前に、Vercel環境へのデプロイ(配備)レベルのGoogle Workspace OAuth権限を付与されていました。攻撃者はこれにより特権アクセスを得て、さらにVercel環境のリソースを列挙しました。

影響を受けたVercelユーザーは、まずどのような行動を優先すべきですか?

Vercelのセキュリティ公告によれば、影響を受けたユーザーは、APIキー、トークン、データベース資格情報、または署名キーを含むすべての環境変数を優先してローテーションする必要があります。公告ではまた、項目やアカウントの削除は鍵のローテーションの代替にならず、攻撃者が取得した資格情報は本番システムに直接接続できると説明されています。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。
コメント
0/400
コメントなし