Vercelがハックされ顧客データが流出——ShinyHunters名乗る攻撃者が「販売中」と投稿、開発者勢は影響確認を急ぐべし
Webアプリのホスティング/デプロイ基盤として広く使われているVercelが、不正アクセスを受けた。The Vergeが報じ、Vercel自身も2026年4月19日付のセキュリティ告知で、特定の内部システムへの不正アクセスと「限定的な顧客影響」を公表している。攻撃者を名乗る人物は、盗み出したと主張するデータを「販売中」と投稿している。ここが破られたとなると、開発者側の影響評価は避けて通れない。
問題はここで、まだ影響範囲の全体像が明確ではないことだ。The VergeはShinyHuntersを名乗る人物の主張を伝えているが、Vercelの公式説明は現時点で「限定的な顧客影響」にとどまっている。Vercelは外部のインシデント対応専門家を入れて調査を進めており、法執行機関にも通知済みとしている。
暫定で打てる手を、影響が読めない段階の実務チェックリストとして置いておく。Vercelが案内しているのは、Activity Logの確認、環境変数の見直しとローテーション、最近のデプロイの調査、Deployment Protectionの設定確認、Deployment Protectionトークンのローテーションなどだ。加えて、Google Workspace管理者やGoogleアカウント利用者に対して、問題のOAuthアプリ利用有無の確認も推奨している。
暫定対応としては、
- VercelアカウントのMFAを有効化(まだなら即時)
- アクセストークン(Personal Access Token)を棚卸しし、不要分は失効
- プロジェクトで使っている環境変数のうち、外部SaaSの鍵は発行元でローテーションを検討
- GitHub連携・Git provider連携のOAuthアプリを見直し、怪しい権限は剥がす
- Vercel公式のステータスページとセキュリティ告知(vercel.com/security)を継続確認
Vercel側の公式発表と影響範囲の続報は、引き続き追っておきたい。
The Verge — Cloud development platform Vercel was hacked(2026-04-19)
みんなの反応
ぬ
ぬるぽ
環境変数に踏み込まれていたかどうかで対応コストが10倍違う。Vercelのダッシュボードから貼り付けたAPIキーを全部ローテするのは、SaaS側の無停止縛りで地味に地獄。MFA未設定のアカウントが社内にある時点で、ゼロデイ的にアウト。チーム単位で一括整理しないと漏れる。
島
島ぐらしCTO
攻撃者の自称と、ベンダーの公式確認の時間差は今回も出そう。ShinyHuntersを名乗る主張だけで全社対応に走るのはコストが重いが、しかし連携SaaSのシークレットは発行元側で回せるので、「鍵の棚卸し」だけは先にやっておくのが正解。監査ログの保存期間を短く絞っているチームは、今のうちに延長しておくと後で助かる。
人
人権弁護士れん
国内事業者がVercelで個人データを処理している場合、漏えい報告義務の判断は自社で行う必要がある。「高度な暗号化等の措置」が取られていたかは、Vercel側の発表を待たずに自社の設定状況で説明できないとマズい。委員会への報告判断は後ろ倒しにしない、が基本線。
町
町工場のおやじ
うちみたいな中小はVercelをちょこっと使うくらいだが、外注先が会社サイトをVercelで動かしてるパターンが多い。こういうときは、外注先に「影響を確認した結果と対応内容を文書で返してくれ」と頼むのが正しい手順。口頭で大丈夫と言われて終わらせるやつが一番危ない。
社
社会学D3
プラットフォーム集中の副作用がまた可視化された格好。Vercel・Netlify・Cloudflare Pages のような「開発体験で選ばれる基盤」は勝者総取りの構造で、侵害の影響範囲が広がりやすい。攻撃者側が「誰を狙えば効くか」を逆算できる時代では、ベンダー側のセキュリティ情報開示の速度が信用の通貨になる。
