Webインフラ大手のVercelが4月20日、サードパーティAIツール「Context.AI」のOAuth認証情報漏洩を起点とした情報漏洩を公表しました。Lumma Stealerマルウェアが情報窃取の起点となり、Context.AIのOAuth認証情報が奪われた結果、Vercel内部のGitHubリポジトリおよび環境変数が外部に流出。「ShinyHunters」を名乗る攻撃者グループが盗用データを200万ドルで販売しようとしていることが複数のセキュリティ研究者によって確認されています。
今回の事案が示す最大の教訓は、業務で利用するAIツールへのOAuth権限付与が新しい攻撃経路になっているという点です。Context.AIは開発者向けのコード品質分析ツールで、GitHubリポジトリへの広範なアクセス権を必要とします。Lumma Stealerが開発者端末の認証情報を窃取した後、そのOAuthトークンを使ってContext.AIの権限を悪用し、Vercelの内部環境変数(APIキー・シークレットなどを含む)にまでアクセスが及んだとされています。GitHubリポジトリのプライベートコードも流出した可能性があります。
X上では「AIツールへの『Allow All』設定での過剰なOAuth権限付与の危険性」についての警告が開発者コミュニティで急速に広まっています。Redditのr/netsecでは「AIツールがエンタープライズSaaSへの新たな攻撃経路になっている」という分析が高評価を集め、Hacker Newsでは「AI Office Suiteへの全権限付与を許可した内部ポリシーの問題」として企業ガバナンスの観点から活発な議論が行われました。
AIコーディングツールや開発支援SaaSへのOAuth連携を見直す機会です。具体的には、付与するOAuthスコープを最小限にする(Read-onlyに留める)、OAuth連携アプリの定期的な棚卸しと未使用連携の削除、重要なシークレットはVault等で分離管理するといった対策が有効です。AIツールへの「便利さ優先」のアクセス付与が、サプライチェーン攻撃の弱点になるリスクは今後も増大することが予想されます。企業のセキュリティポリシーにおいてAIツールのリスク評価を明示的に組み込む重要性が、今回の事案で改めて浮き彫りになりました。