この記事の結論
2026年4月19日、Vercelがセキュリティインシデントを公表。AI業務ツールContext.aiのOAuth侵害 → Vercel従業員のGoogle Workspace乗っ取り → 内部環境変数の列挙、というAIツールのサプライチェーン攻撃の典型パターンです。影響は「Sensitive」マークされていない環境変数が対象で、Claude Code・Cursor・Next.js・SupabaseをVercelで運用している開発者は直ちに環境変数ローテーションが必要です。本記事では事件の全貌、対処7ステップ、AI開発時代のセキュリティ教訓を徹底解説します。
🚨 緊急:Vercelユーザーへ
Vercelでセキュリティインシデントが発生(2026年4月19日公表)。「Sensitive」マークされていない環境変数が侵害対象となった可能性があります。Claude Code・Cursor・Next.js・SupabaseなどをVercelで運用している開発者は、直ちに環境変数のローテーションを実施してください。本記事で対応手順を解説します。
2026年4月19日、Next.js開発元でもあるVercelがセキュリティインシデントを公表しました。約918万インプレッションを獲得した同社X投稿で話題となり、Webサービス開発者の間で緊急対応が広がっています。
今回のインシデントで特に注目すべきは、AI業務ツールのOAuth連携が攻撃の起点になった点です。VercelユーザーのみならずClaude Code・Cursor・GitHub CopilotなどAIツールを業務利用する全ての開発者にとって、他人事ではありません。本記事では事件の全貌、対処方法、そしてAI開発時代のセキュリティベストプラクティスを徹底解説します。
Vercel 2026年4月インシデントの全貌
侵害の公表経緯と被害規模
2026年4月19日午前(ET)、Vercel公式Xアカウントとセキュリティ告知ページで同時公表されました。同日早朝、BreachForums上で攻撃者が「ShinyHuntersを名乗る脅威アクター」として、アクセスキー・ソースコード・データベースの売却を$200万ドル(ビットコインで最低$50万ドル)で提示していたことも判明しています。
流出したとされる情報は以下です(Vercelが公式に認めたものと攻撃者主張分を明確に区別)。
公式に認められた被害
✓ 非Sensitive環境変数の列挙(「限定的な顧客サブセット」が対象)
✓ Linear内部プロジェクト管理ツールへの侵害
✓ 内部Google Workspace環境の乗っ取り
✓ Mandiantおよび法執行機関と連携して調査中
攻撃者主張(Vercel未確認)
△ 580名のVercel従業員データ流出(名前・メール・アカウントステータス・活動タイムスタンプ)
△ npmトークン・GitHubトークンの保持
△ 複数従業員アカウントへのアクセス
△ ソースコード・データベースアクセス
BleepingComputerの報道によれば、攻撃者は後に「身代金$200万ドル」をVercelに要求したと主張。ただしVercelはこれに応じず、Mandiant・法執行機関と連携して対応を継続しています。本物のShinyHuntersグループ関係者はBleepingComputerに「今回の攻撃は自分たちではない」と否定しており、偽名を名乗る模倣犯の可能性も指摘されています。
侵害経路——AI業務ツール起点の典型パターン
Vercel CEO Guillermo Rauch氏が4月20日のX投稿で公開した詳細情報によれば、攻撃経路は以下のようなチェーンでした。
🔗 侵害経路チェーン(4ステップ)
STEP 1:Context.aiが侵害
AI業務支援ツールContext.ai(AI Office Suite)のGoogle Workspace OAuth認証アプリがサプライチェーン攻撃を受ける。同社従業員がLumma Stealerに感染した可能性も指摘されている(Hudson Rock調査、2026年2月時点)
STEP 2:Vercel従業員のGoogle Workspace侵害
Vercel従業員がContext.aiに「Allow All」権限でOAuth連携していたため、攻撃者が従業員のVercel企業Google Workspaceアカウントを乗っ取り
STEP 3:Vercel内部システムへ横展開
攻撃者が内部システムへ進行。Vercelの顧客環境と環境変数(「Sensitive」マークされていないもの)を列挙可能に。Linearの内部ドキュメントも侵害対象
STEP 4:検知・封じ込め
Vercelが侵害を検知し、4月19日に公表。Mandiant・法執行機関と連携して対応中。Sensitiveマーク済み環境変数は暗号化保存のため保護された。Next.js・Turbopackも安全確認済み
※ 出典:Vercel公式セキュリティ告知(4/19)、Vercel CEO Guillermo Rauch氏X投稿(4/20)
この経路の恐ろしい点は、Vercel本体のセキュリティ侵害ではなく、外部AIツールの侵害が連鎖的に大手プラットフォームを破壊したことです。Vercel従業員が自身の企業Google WorkspaceでContext.ai(AI Office Suite)に「Allow All」権限を付与していたことが、全ての起点となりました。
Context.aiとは何だったか
Context.aiは企業向けAIプラットフォームで、社内ナレッジ・ワークフロー・業務標準に基づいて動作するAIエージェント(プレゼン・文書・スプレッドシート作成)を提供していました。VercelはContext.aiの正式顧客ではなく、従業員が個人判断で企業アカウントにOAuth連携していたことが問題の根源です。
The Hacker Newsの報道では、Hudson Rock社がContext.aiの従業員が2026年2月にLumma Stealerというマルウェアに感染していた可能性を指摘。このサプライチェーン起点の感染が連鎖した可能性が示唆されています。
攻撃者の特徴——「AI加速型」攻撃の可能性
Vercel CEO Rauch氏は攻撃者について「高度に洗練されており、AIによって加速されている可能性が高い」と評価しました。これはMandiant社のM-Trends 2026レポートで指摘されている「AI支援型マルウェア・AI加速型攻撃者行動」のパターンに符合します。2026年はセキュリティ業界全体で「AI対AI」の攻防が本格化していくことを示唆する事例と言えます。
環境変数の侵害——SensitiveとNon-Sensitiveの決定的な差
今回のインシデントで浮き彫りになった最も重要な概念が、VercelのSensitive環境変数と非Sensitive環境変数の違いです。
🔐 Sensitive vs 非Sensitive環境変数の決定的な違い
✅ Sensitive(暗号化保存)
・保存時に暗号化される
・UI上で値を読み取れない
・今回のインシデントで保護された
・新規作成時に「Sensitive」チェックを入れるだけ
⚠ 非Sensitive(UI表示可能)
・UI上で値が表示される
・攻撃者が列挙可能
・今回のインシデントで侵害対象となった
・デフォルト設定はこちら
⚡ 重要な注意点:Vercel CEOは「全ての環境変数は保存時に暗号化されているが、非Sensitiveは内部UIで復号表示される」と明言。多くの開発者がAPIキー・DB接続文字列・JWT署名鍵などの重要な秘密情報まで非Sensitiveのまま運用しており、これが今回の被害拡大の根本原因となりました。
なぜ非Sensitiveがデフォルトなのか
Vercelのダッシュボードでは非Sensitiveがデフォルトです。これは設定値を確認・デバッグしやすくするためですが、多くの開発者がAPIキー・データベース接続文字列・JWT署名鍵などの重要な秘密情報までそのまま非Sensitiveで保存していました。
Vercel CEOのRauch氏は「全ての環境変数は保存時に暗号化されているが、非Sensitiveは内部UI上で復号されて表示される」と説明。つまり、保存時暗号化とUI表示制御は別レイヤーであり、内部侵害時には非Sensitiveの値が読み取り可能となってしまったわけです。
Vercel+Claude Code開発者への影響
Claude CodeでVercelプロジェクトを開発している方、特に以下の環境で作業している場合は直ちに対応が必要です。
影響範囲1:Claude Codeで生成・管理しているプロジェクト
Claude CodeでNext.jsアプリをVercelにデプロイしている場合、Claude Codeが環境変数をセットアップした可能性があります。一般的にClaude Codeはコマンドライン経由で`vercel env add`を実行する際、デフォルトの非Sensitiveで環境変数を設定します。この場合APIキーなどが侵害対象となります。
影響範囲2:Supabase+Vercelの組み合わせ
SupabaseとVercelを公式マーケットプレース連携で使っている場合、以下の環境変数が自動セットされています。
Supabase→Vercel自動セット環境変数(要ローテーション候補)
NEXT_PUBLIC_SUPABASE_URL(公開可・ローテ不要)
NEXT_PUBLIC_SUPABASE_ANON_KEY(公開可・ローテ不要)
SUPABASE_SERVICE_ROLE_KEY(絶対機密・最優先ローテ)
POSTGRES_URL(絶対機密・最優先ローテ)
POSTGRES_PRISMA_URL(絶対機密・最優先ローテ)
SUPABASE_JWT_SECRET(絶対機密・最優先ローテ)
特にSupabase Service Role KeyはRLS(Row Level Security)をバイパスしてDBへのフルアクセスが可能なため、漏洩すると全データの読み取り・改ざん・削除が可能になります。今回のインシデントでこれらが非Sensitiveで保存されていた場合、即座にローテーションすべき最優先対象です。
影響範囲3:v0.dev・Cursor・その他AIツールとの連携
Vercelが提供するv0.dev(AIコード生成)、CursorやMCPサーバー、v0 Generate APIを使っている場合も、OAuth連携状況の総点検が必要です。AI時代の「サプライチェーン攻撃」は、使っているAIツール全ての連携権限がリスクポイントになります。
直ちに行うべき対処7ステップ
✅ 直ちに行うべき7つのアクション
1. Vercel Activity Logを確認
2026年4月1日以降の不審なアクセス・デプロイ・環境変数閲覧を確認。Vercelダッシュボードの「Activity」タブ。攻撃者の滞留期間は公表されていないため、侵害窓は4月1日以降と保守的に想定
2. 非Sensitive環境変数をローテーション
APIキー・DB接続文字列・JWT署名鍵・決済プロバイダキー・クラウドプロバイダキー・Anthropic/OpenAI APIキーなど、全ての秘密値を再生成
3. Sensitive機能に移行
ローテーション後の値は必ず「Sensitive」で保存し直す。今後の漏洩リスクを抑制
4. 再デプロイで新環境変数を反映
環境変数の更新は再デプロイしないと反映されない。古いデプロイでは古い値が使われ続けるため、本番・プレビュー両方を再デプロイ
5. 最近のデプロイを精査
予期しないデプロイ・知らないコミットが混入していないか確認。疑わしいデプロイは削除
6. Deployment Protectionを「Standard」以上に
Deployment Protectionトークンを設定している場合はそれもローテーション
7. Google Workspace OAuthアプリ監査
該当OAuth ID:110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com
管理コンソール → セキュリティ → APIコントロール でこのIDが存在する場合は即削除。Claude・Cursor・その他AIツールのOAuth連携も総点検
Supabaseキーローテーションの具体手順
Supabase環境でのキーローテーション手順は以下です。
Supabase側の手順
1. Supabaseダッシュボード → Project Settings → API
2. Service Role Keyの「Roll」ボタンで再生成(旧キー即失効)
3. Database → Database Password でDBパスワード再生成
4. Settings → API → JWT Settings でJWT Secretローテーション
Vercel側の手順
5. Vercelダッシュボード → Settings → Environment Variables
6. 該当環境変数を新しい値で更新+Sensitiveにマーク
7. Deployments → 最新デプロイを「Redeploy」で再反映
8. プレビュー環境も忘れずに再デプロイ
💡 重要な注意点:Vercelの環境変数更新は「再デプロイしないと反映されない」仕様です。古いデプロイURLでは旧キーが使われ続けるため、ローテーション後に古いキーを即失効させると本番環境が動かなくなる可能性があります。「Vercel側を新キーで更新+再デプロイ→動作確認→Supabase側の旧キー失効」の順番が鉄則です。
AI開発時代の構造的セキュリティ教訓
本インシデントは単なる「Vercelの話」ではなく、AI開発ツール全体の構造的リスクを示しています。Claude Code・Cursor・Copilot・v0など、開発者が日常的に使うAIツールすべてに応用できる教訓を整理します。
教訓1:OAuth「Allow All」権限は絶対禁止
今回のインシデントの根本原因は、VercelのOAuth設定が「Allow All」を許容する構成だったことです。AIツール(Claude Code・Cursor・Notion AI・Context.aiなど)にGoogle Workspace連携を許可する際は、最小権限の原則を徹底してください。
AIツールOAuth権限の見直しチェック
✓ Google Workspace管理コンソール → セキュリティ → APIコントロール
✓ 半年以上使っていないAIツールの連携は即削除
✓ 「admin.directory」「gmail.readonly」等の広範なスコープ要求は拒否
✓ 個人アカウントと業務アカウントで連携ツールを完全に分離
✓ 四半期ごとの定期監査をカレンダー登録
教訓2:Short-Lived Credentialsへの移行
長期的なAPIキーよりも、短期間で自動失効する認証情報を使うべきです。具体的には以下の仕組みを導入します。
- GitHub OIDC連携:AWS/GCP/Azureへの認証をOIDCに切り替え、長期IAMキーを環境変数に置かない
- AWS Secrets Manager・GCP Secret Manager:実行時に取得する方式で、静的な環境変数を排除
- Doppler / Infisical / Vault:中央集約の秘密管理ツール経由でVercelと連携
Anthropic公式のAPIキーベストプラクティスでも、本番環境ではdotenvファイルより暗号化秘密ストレージが推奨されています。
教訓3:Claude Codeの権限設計
Claude Code自体のセキュリティ設計も見直す機会です。CLAUDE.mdや`.claude/settings.json`で以下のような制限を設定できます。
.claude/settings.json(推奨設定例)
{
"permissions": {
"deny": [
"Read(./.env)",
"Read(./.env.*)",
"Read(~/.ssh/**)",
"Read(./secrets/**)",
"Bash(curl:*)",
"Bash(wget:*)"
]
}
}
これにより、Claude Codeが誤って`.env`ファイルを読み取り・外部送信することを防げます。詳細はClaude Code Security記事をご覧ください。
教訓4:Linear・Notion等の業務ツールに機密情報を貼らない
今回のインシデントで特に注目すべきは、Linear(プロジェクト管理ツール)の侵害です。多くの開発者はデバッグ時にAPIキー・パスワード・接続文字列を気軽にLinearやNotionのチケットにペーストしがちです。これらのツールが侵害されると、内部ドキュメントから秘密情報が一気に流出します。
対策として、社内ルールで「秘密情報はチケット本文に書かない」を徹底し、秘密情報スキャンツール(GitGuardian・TruffleHog等)で定期監査することを推奨します。
日本の開発者・企業が取るべき具体的アクション
個人開発者・フリーランス
推奨アクション(所要時間:1〜2時間)
・Vercelダッシュボードで全環境変数を精査
・非Sensitiveマーク済みのAPIキー・DBキー・JWT鍵を全てローテーション+Sensitive化
・Google WorkspaceのOAuthアプリ一覧確認、不要な連携は即削除
・Claude Code・Cursor・v0などAIツールの連携権限見直し
開発チーム・スタートアップ
推奨アクション(所要時間:1〜2日)
・Vercel Team全体でCredential Audit Dayを設定
・全プロジェクトで環境変数の棚卸し+Sensitive化
・Supabase Service Role Keyは最優先で全環境ローテーション
・Short-Lived Credentials(OIDC連携等)への移行を計画
・Linearの過去チケットで秘密情報の流出有無を全文検索(AKIA・sk_live_・ghp_・eyJ等のパターン)
エンタープライズ企業
推奨アクション(所要時間:1〜2週間)
・SOC体制でMandiantおよびVercel告知の最新情報を継続監視
・サードパーティSaaS・AIツールのベンダーリスク評価更新
・Google Workspace・Microsoft 365の全OAuth連携を棚卸し
・従業員向けAIツール利用ガイドラインの策定・更新
・Vault・Doppler等の秘密管理ツール導入評価
・インシデント対応プレイブックの見直しと演習
Anthropic・Claudeユーザーが学ぶべき構造的教訓
本インシデントは、AI時代のサプライチェーン攻撃の典型例として広く研究されることになるでしょう。Anthropicが$800億ドル評価拒否と広告なし戦略でも触れましたが、Anthropic(Claude)は「利用者データを商用化しない」「広告を出さない」方針を明確にしています。
ただし、それはAnthropic側の姿勢であり、ユーザー側のOAuth連携管理は別問題です。どんなに信頼できるAIベンダーでも、利用者が権限を無制限に与えれば、権限そのものが攻撃対象となります。「AI使う側の責任」を理解したうえでClaude・その他AIツールを活用してください。
よくある質問
Vercelから連絡が来ていない場合も対応が必要ですか?
推奨されます。Vercelは「直接影響を受けた限定的な顧客サブセット」に連絡していますが、攻撃者の滞留期間(Dwell Time)は公表されていません。4月1日以降にVercelでデプロイを行った全ユーザーは、非Sensitive環境変数のローテーションを検討すべきです。
Claude Codeは今回のインシデントと関係がありますか?
Claude Code自体の侵害ではありません。ただしClaude Codeを使ってVercelへデプロイしている場合、Claude Codeが設定した環境変数はデフォルト非Sensitiveになっている可能性が高く、今回のインシデントの影響範囲に入ります。また「AI業務ツールのOAuth経由攻撃」という構造は、Claude・Cursor・Copilotなど全AIツールに共通するリスクです。
Sensitive環境変数もローテーションすべきですか?
Vercel CEOの声明では、Sensitiveマーク済み環境変数は保存時暗号化で保護されたとしています。ただし「絶対的な保証」ではないため、極めて重要な本番環境(金融・医療・決済系)では念のためローテーションを検討することを推奨します。
Next.jsのアップデートは必要ですか?
不要です。Vercelは「Next.js・Turbopack・その他OSSプロジェクトの安全性を確認した」と明言しています。ただしVercelの告知ページは今後も更新される可能性があるため、継続監視を推奨します。
仁頼にセキュリティ診断を依頼できますか?
はい。株式会社仁頼ではClaude Code・Vercel・Supabase環境のセキュリティ診断と改善実装を提供しています。OAuth権限監査・環境変数棚卸し・Short-Lived Credentials移行・Claude Code権限設計など一気通貫でサポート可能です。詳細はサービスページよりお問い合わせください。
まとめ
Vercel 2026年4月セキュリティインシデントは、単なる一社の事故ではなくAI時代の開発者全員にとっての警鐘です。攻撃経路が「AI業務ツールのOAuth連携」という新しい形態であり、Claude Code・Cursor・Copilotなどを日常的に使う全ての開発者が構造的に同じリスクを抱えていることを示しています。
直ちに行うべきは、本記事の7ステップチェックリストを1つずつ実行すること。そして中長期的には、Short-Lived Credentials・OAuth最小権限・秘密管理ツール導入を進めることです。Claude導入を検討される企業様は、こうしたAI時代のセキュリティ設計も併せて検討されることを強く推奨します。
関連記事
- Claude Codeとは?料金・できること・対応言語を徹底解説
- Claude Code Securityとは?コードの脆弱性を自動検出する仕組みと使い方
- CLAUDE.mdとは?書き方と設定例でClaude Codeの出力品質を劇的に上げる方法
- MCPとは?Claude Codeを外部ツール(Slack・GitHub等)と連携させる方法を徹底解説
- Claude活用おすすめMCPサーバー15選|GitHub・Slack・Drive・Exaなど2026年版
- Anthropicが$800億ドル評価拒否と広告なし宣言の真意|Claudeの戦略的決断
- Claude Opus 4.7徹底解説|Opus 4.6との違い・ベンチマーク・新機能を全網羅
- Claude Code × GitHub連携ガイド|PR自動レビューとCI/CD統合の設定手順
株式会社仁頼 代表取締役。横浜市在住。 2018年からデジタルマーケティング業界に携わり、Google広告・SEO・コンテンツマーケティングを中心に8年以上の実務経験を持つ。これまでに制作した記事は9,000本以上、70名を超える専門ライターとのチーム体制で、幅広い業界のWebマーケティングを支援してきた。 2022年9月に株式会社仁頼を設立。「受けた御恩を忘れず、信頼を得られるよう迅速かつ最適な対応をする」という信念のもと、SEO・広告運用・サイト制作などのマーケティング支援を行っている。 近年は、ChatGPTやPerplexityなどのAI検索でサイトが引用される「GEO(生成エンジン最適化)」の分野にいち早く注力。自社サービス「GEO Hack」を通じて、AI時代の新しい集客手法を企業に提供している。 「難しいことをわかりやすく、小さな会社にも大きな成果を」をモットーに、日々クライアントと伴走中。
