A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

この文書は元の英語版を機械翻訳したものです。翻訳版と英語版の間に相違がある場合は、英語版が優先されるものとします。 英語版の原文を読む

Roblox のチート、1ヶ月の沈黙、そして企業の OAuth 侵害:Vercel 事件が真に教えていること

2026-04-22 · Caiioo Team

Vercel の侵害事件から、注目すべき 3 つの詳細を抜き出しました。これらは単なる見出しではありません。サードパーティ AI ツールのインストールに対する考え方を根本から変えるものです。

詳細 1: Vercel 侵害へのサプライチェーンは Roblox のチートから始まった

Vercel 事件の公のナラティブはこうです:Vercel の従業員が Context AI をインストールし、広範な Google Workspace スコープを許可した。Context AI が侵害され、OAuth トークンが乗っ取られ、攻撃者が Vercel に侵入した。

これは「下流」の物語です。「上流」の物語はもっと奇妙です。

Hudson Rock の分析(現在は Trend Micro、OX Security、Strapi、The Hacker News などで共通して報じられており、4月22日時点で Vercel も Context AI も否定していません)によると、最初のベクトルは 2026年2月に「個人」デバイスを侵害された Context AI の従業員でした。侵害の原因は、市販のインフォスティーラーである Lumma Stealer でした。伝えられるところによれば、配布経路はダウンロードされた Roblox の「オートファーム」ゲームチートツールでした。

スティーラーはその役割を果たしました。従業員の Google Workspace 認証情報と AWS アクセス認証情報を流出させたのです。それらの認証情報が、その後のすべてのレバレッジポイントとなりました。Context AI の AWS 環境へのアクセス、Context AI が一般ユーザーに代わって保持していた OAuth トークン保管庫へのアクセス、Vercel の従業員が企業用 Google Workspace のために付与していたトークンへのアクセス、そして最終的には Vercel の内部環境と一部の顧客環境変数へのアクセスへとつながりました。

1 人の従業員の個人用ノート PC に入った 1 つの Roblox チートが、Vercel が「多くの組織にわたる数百人のユーザー」に影響を与える可能性があると述べる、企業の OAuth サプライチェーン侵害の根本原因となったのです。

教訓は「Roblox が悪い」ということではありません。SaaS 型 AI アーキテクチャにおいては、攻撃対象領域がサプライチェーン内のあらゆるベンダーの全従業員の個人デバイスにまで及ぶということです。自社のエンドポイント衛生管理が完璧であっても、2 つ先のベンダーの誰かが間違ったファイルをダウンロードしただけで侵害される可能性があるのです。

詳細 2: Context AI は 3 月に把握していたが、通知したのは 1 社のみ

context.ai/security-update で公開され、2026年4月21日に更新された Context AI 自身のセキュリティ速報は、以下のタイムラインを明らかにしています:

  • 2026年3月: Context AI は、非推奨の AI Office Suite 製品をホストしている AWS 環境への不正アクセスを検知。CrowdStrike にフォレンジックを依頼し、影響を受けた環境を廃止。特定された 1 社の影響を受けた顧客に通知。
  • 3月から4月19日の間: 「一部」の一般ユーザーに属する OAuth トークンは侵害されたまま。それ以上のユーザー通知は行われず、公表もなし。
  • 2026年4月19日: Vercel が独自のフォレンジックを通じて侵害の元を Context AI と特定し、セキュリティ事件速報を公開。
  • 2026年4月21日: Context AI が速報を更新し、追加のユーザーガイダンスを掲載。残りの影響を受けた一般ユーザーへの通知スケジュールは明言せず。
  • 2026年4月22日(執筆時点): 未だに通知スケジュールは不明。2 月にトークンを侵害された人々は、いつ、あるいはそもそも通知されるのかさえ分かっていません。

これこそが、技術チームがサードパーティ AI ツールの導入を検討する際に考え方を変えるべき部分です。ベンダーによる侵害検知は、あなたへの開示と同じではありません。

多くの場合、ベンダーにはサービスが侵害されたことを通知する契約上または規制上の義務がありません。たとえその侵害に、あなたが渡した OAuth トークンが含まれていたとしてもです。あなたが自側で、可能な限りの最小権限スコープ、MFA、条件付きアクセス、セキュリティ意識向上トレーニングなど、すべてを正しく行っていたとしても、警告できる唯一の当事者が沈黙を守っている間、数ヶ月にわたって攻撃者の支配下に置かれ続ける可能性があるのです。

詳細 3: Context AI 自身の製品の分離が、どのアーキテクチャが生き残るかを証明している

Context AI の同じ報告書の中に、文書の他の部分を合わせたよりも重みのある一文が隠されています。

侵害された製品は AI Office Suite であり、Context AI の非推奨となった消費者向け製品でした。現在の企業向け製品である Bedrock は影響を受けませんでした。Context AI 自身が述べた理由は、Bedrock は「顧客の環境で動作する」からというものでした。

同じ会社、同じエンジニアリングチームが、2つの異なるアーキテクチャで2つの製品を作りました。SaaS 型の中間業者モデル(顧客に代わって OAuth トークンを中央クラウドに保持していたもの)は、データが流出しました。顧客環境で動作するモデル(AI の隣にデータを置くのではなく、データの隣に AI を置いたもの)は生き残りました。それはセキュリティエンジニアリングが優れていたからではなく、攻撃者が到達できる中央集権的な保管庫が存在しなかったからです。

中央集権的な SaaS AI に構造的な問題があるという Caiioo の言葉を鵜呑みにする必要はありません。Context AI 自身の製品ラインがそれを証明しています。

AI ツールを評価するすべての人にとっての意味

セキュリティ研究コミュニティ(Trend Micro、Varonis、Halborn、OX Security、Strapi)における共通の構造的教訓は、広範な「すべて許可」の OAuth スコープが元凶であるということです。一度発行されると、それらのトークンは MFA や条件付きアクセスを回避します。ベンダーでの侵害は、すべてのダウンストリームアカウントの侵害となります。

以下の 3 つの教訓が得られます:

  1. ベンダーが提供している場合は、最小権限のスコープを優先する: カレンダー機能を使うために Google Workspace 全体への読み書き権限を要求するような AI ツールがあれば、その要求自体がレッドフラグ(危険信号)です。
  2. 長期間有効な中央集中型トークンをそもそも必要としないベンダーを優先する: これが構造的な対策です。OAuth クライアントを自社のクラウドプロジェクトでプロビジョニングし、トークンがデバイスに留まる「Bring Your Own Auth (BYOA)」モデルは、信頼チェーンからベンダーを完全に排除します。
  3. ベンダーの開示を早期警告システムとして信頼しない: Context AI のタイムライン(3 月に検知、1 社のみ通知、4 月 21 日の更新でも広範な通知への言及なし)は例外ではありません。厳格な法的義務がない場合、事件開示の経済学がもたらす必然的な結果です。ベンダーは適時に通知してくれないという前提で管理策を講じる必要があります。

Caiioo がどのようにこれを中心に構築されているか

Caiioo は、サイドパネルで動作するエージェントオーケストレーターとチャットインターフェースを備えた、強力でプライバシーを重視したワークスペースです。そのアーキテクチャは、Context AI の製品分離が図らずも証明したのと同じ洞察に基づいて構築されています。つまり、ワークスペースはデータの隣で動作すべきであり、データの隣にデータを保持すべきではないということです。

簡潔に言えば、Workspace の OAuth トークンは暗号化されてあなたのデバイスに保存され、Caiioo のデータベースには保存されません。Gmail/Calendar/Drive の API コールはあなたのデバイスから直接 Google に送信され、当社のインフラがデータパスに入ることはありません。デバイス間の連携、OAuth の交換、ライセンス/請求トラフィックのために運用しているリレーは、ユーザーごとの Cloudflare Durable Objects(各ユーザーは他のすべてのユーザーからハードウェアレベルで隔離されています)上に構築されており、WebSocket メッセージバス上でエンドツーエンド暗号化を使用しています(メッセージのルーティングはできますが、読み取ることはできません)。当社の中央データベースには、アカウント ID、請求ステータス、ルーティングメタデータが保存されますが、コンテンツ、Workspace トークン、会話は保存されません。Little Snitch や Wireshark で自分自身で検証できるトラフィックテーブルを含む技術的な詳細は、この侵害に対するアーキテクチャ上の対応に関する投稿に記載されています。

これは、Caiioo に対して Context AI スタイルの事件が起きても、Context AI スタイルの結末にはなり得ないことを意味します。トークンの保管庫が存在しないため、流出する保管庫もありません。攻撃者がユーザーから奪えるものが当社のインフラ内に何もないため、いつユーザーに伝えるかを悩む「沈黙の1ヶ月」もありません。「ベンダーが検知しても開示されない」という問題は、そもそもベンダーがあなたのものを何も持っていないときに解消されます。

Caiioo を試す

Caiioo は、ブラウザ拡張機能、macOS ネイティブアプリ、iOS ネイティブアプリ、Android ネイティブアプリ、および Windows と Linux 用のデスクトップアプリとして利用可能です。無料で始める。

ソース: