Vercel、2026年4月のセキュリティインシデント発生を公表(内部システムへの不正アクセス)
(vercel.com)Vercelは2026年4月、一部の内部システムに対する不正アクセス(unauthorized access)が発生したセキュリティインシデントを公式に公表した。
現在この件は調査中であり、外部のセキュリティ専門家とともに対応を進めており、法執行機関にも通報済みとなっている。
影響範囲
- 影響は**全顧客ではなく「一部の限定された顧客」**に限定
- 該当顧客とは個別に直接対応中
- プラットフォーム自体のサービスは正常稼働を維持
👉 つまり、「大規模なサービス障害」というよりは
内部システム侵害 + 限定的な顧客影響タイプのインシデント
⸻
現在の対応状況
Vercel側の対応要約:
- インシデント検知後、直ちに調査に着手
- 外部の incident response 専門家を投入
- 法執行機関へ通報
- 継続的にアップデート予定
⸻
ユーザーへの推奨対応
Vercelはすべてのユーザーに以下を推奨:
- 環境変数(environment variables)の点検
- 機密情報(sensitive env vars)の保護機能を利用
👉 特にVercelの特性上、
環境変数にはAPIキーやトークンなどが多く入るため、
秘密情報の管理が中核的なリスクポイント
⸻
文脈: 最近のVercelのセキュリティ動向
今回のインシデントは単独の出来事というより、最近のVercelエコシステムで続いているセキュリティ問題の流れの中にある:
- React / Next.jsベースの脆弱性が継続して発見(DoS、認証回避など)
- React2Shell など大規模な攻撃の試行(数百万件規模)
- Vercelドメインを悪用したフィッシング / マルウェア配布事例の増加
👉 要するに
**「フレームワーク + プラットフォーム + 開発者エコシステム全体が攻撃対象領域」**という状況
⸻
重要ポイントの整理
- 内部システムに対する不正アクセスが発生
- 影響は限定された一部顧客
- サービスは正常稼働中
- 現在調査進行中 + 外部専門家を投入
- ユーザー側では環境変数のセキュリティ点検が必須
⸻
一言要約
👉 「Vercelの内部システムが突破されたが、被害は限定的で現在調査と対応が進行中 — ただし環境変数のセキュリティが重要なリスクとして浮上」
4件のコメント
nextjsがあまりにvercel独自のフレームワークっぽくなってきた気がして、rrv7が出た途端に乗り換えたんですが、それでもうまくいってほしいですね
主要なWebフレームワークはどれも、Vercelがいちばんサポートが弱いんじゃないですか。せめてrr7でも。
それと、これは私個人の好みかもしれませんが、1つのプラットフォームに縛られているのが嫌なので、
gcpawsvercelcfに、できるなら全部デプロイできるようにしようと思っていますid
name
displayName
email
active
admin
guest
timezone
createdAt
updatedAt
lastSeen
データと、npmトークンやGitHubトークンのようなAPIキーも流出したそうです。データを売る業者も現れたようです。