メインコンテンツまでスキップ

Vercel + Lovable の情報漏洩:AI ツールが Web3 の新たなサプライチェーンリスクになった経緯

· 約 19 分
Dora Noda
Dora Noda
Software Engineer

2026 年 4 月の 1 週間、一見無関係な 2 つの SaaS インシデントが衝突し、すべての Web3 チームの脅威モデルを再設定せざるを得ない事態となった。Vercel ―― 数千のウォレット UI や dApp フロントエンドのデプロイプラットフォーム ―― は、Context.ai という侵害された AI 生産性ツールを介して、攻撃者が自社環境に侵入したことを公表した。数日後、バイブコーディング(vibe-coding)プラットフォームの Lovable が、未修正の認証バグにより、2025 年 11 月以前の数千のプロジェクトにわたるソースコード、データベース認証情報、AI チャット履歴を漏洩させていたことが発覚した。これら 2 つの事例に共通のインフラはない。それよりも悪いものを共有している。それは、AI ツールが開発ツールチェーン内で密かに特権的なアイデンティティとなり、Web3 がそのリスクを適切に評価することなく継承してしまったという、同じブラストパターン(被害波及パターン)である。

スマートコントラクトの監査、マルチシグ・ガバナンス、ハードウェアウォレットによる署名 ―― これらの防御策はどれも、ユーザーの取引承認 UI を配信するビルド・パイプラインが侵害された際に、攻撃者が通る経路には存在しない。2026 年 4 月は、そのギャップを可視化した。業界がこれを警鐘として受け止めるか、あるいはまた一つの「吸収された損失」として処理するかは、次の四半期がどのようなものになるかにかかっている。

Vercel-Context の連鎖:1 回の OAuth クリックで数百のフロントエンドが危機に

Vercel の 2026 年 4 月 19 日のインシデント・レポート は、OAuth スプロール(無秩序な拡散)の教科書的な事例のように読める。攻撃は Vercel から始まったのではない。数ヶ月前の 2026 年 2 月、Context.ai の従業員が Lumma Stealer を含む Roblox のチートツールをインストール し、Google Workspace の認証情報に加え、Supabase、Datadog、Authkit のシークレットを紛失したことに端を発する。

それだけなら、日常的な認証情報盗難の話である。これが複数の組織にまたがるサプライチェーン攻撃となった原因は、OAuth のスコープにあった。少なくとも 1 人の Vercel 従業員が、以前 Vercel のエンタープライズ Google アカウントを使用して Context.ai の「AI Office Suite」にサインアップ し、「すべて許可」をクリックしていた ―― これにより、Context.ai は Vercel の Google Workspace に対して継続的かつ広範な権限を持つことになった。攻撃者が Context.ai の OAuth アプリを乗っ取ったとき、その信頼関係は自動的に継承された。そこから攻撃者は従業員の Vercel Workspace アカウントに侵入し、さらに Vercel 環境へと進み、機密扱いではない環境変数を列挙・復号した。

ShinyHunters と名乗る脅威アクター は、その結果得られたデータベースを BreachForums で 200 万ドルで売りに出した。Vercel は、「機密(sensitive)」としてマークされた変数は暗号化されたままであり、読み取られていないと主張している。しかし、その区別よりも重要な問いがある。Vercel にデプロイしている Web3 プロジェクトのうち、RPC キー、API トークン、インデクサーのシークレットを実際に「機密」としてマークしていたのはどれくらいあっただろうか?認証情報のローテーションに追われる混乱 から判断すると、その答えは「すべてではない」ということだ。

Solana の DEX である Orca は、フロントエンドが Vercel で動作していることを認め 、予防措置としてすべてのデプロイ認証情報をローテーションした。Cork Protocol の CTO は、プロジェクトが認証情報をローテーションする時間を確保できるよう、Vercel でホストされている DeFi アプリとのやり取りを一時停止するようユーザーに公に促した。オンチェーン・プロトコルとユーザー資金は直接的な影響を受けなかったが、侵害された Vercel デプロイメントから、接続されたウォレットに提示される悪意のある「無制限の承認(approve unlimited)」トランザクションへの経路は、スマートコントラクトの監査を通ることはない。それは Web3 が構築してきたあらゆる防御策をバイパスする。

なぜ「フロントエンド・セキュリティ」は Web3 が監査を忘れたレイヤーなのか

過去 5 年間、暗号資産における支配的なセキュリティの物語は「スマートコントラクトが資金を保持しているのだから、スマートコントラクトを監査せよ」というものだった。DeFi が小規模で、フロントエンドが IPFS 上の薄い静的なページだった頃は、それで理にかなっていた。しかし、ウォレット UI が Vercel、Netlify、Cloudflare Pages、AWS Amplify から配信され、署名ペイロードが CDN 経由で届く JavaScript で構築され、一つの悪意のあるバンドルが TLS を破ることなくユーザーをドレイン(資産流出)できる今日の業界の姿とは異なる。

Web3 のフロントエンド侵害の歴史は短いが、そこから推論するには十分なほど高額な代償を伴っている。

  • 2022 年 8 月、Slope Wallet: 誤設定された Sentry の統合 により、Slope モバイルウォレットユーザーの秘密鍵情報がアプリケーション監視サービスに密かに送信された。攻撃者は、約 4 時間で 9,231 個のウォレットから 410 万ドルを流出させた。この「脆弱性」は、過剰なアクセス権を持つ日常的なテレメトリツールであり、まさに OAuth スプロールのパターンであった。
  • 2023 年 12 月、Ledger Connect Kit: 元 Ledger 従業員がフィッシングにより NPM セッショントークンを盗まれ 、2 要素認証(2FA)がバイパスされた。攻撃者は、悪意のあるウォレット・ドレイナー・ペイロードを @ledgerhq/connect-kit バージョン 1.1.5–1.1.7 としてプッシュした。このパッケージは 5 時間公開され、2 時間にわたって活発に資金を流出させ、100 以上の dApp フロントエンドに達した。盗まれた額は約 60 万ドル ―― 誰かが素早く気づいたからこそ、この程度の被害で済んだのである。
  • 2024 年 7 月、Squarespace の DNS ハイジャック: Squarespace のドメインアカウント作成における移行の不備 により、攻撃者は Google Domains から移行し、メール検証が済んでいないドメインの管理者メールを登録できるようになった。Compound と Celer Network のフロントエンドがウォレット・ドレイナーにリダイレクトされた。Decrypt の報告 によると、その後数週間にわたり 220 以上の DeFi プロトコルがリスクにさらされたままであった。

これらのインシデントはすべて、共通の形をしている。テレメトリ、パッケージレジストリ、DNS といったスタックの非ブロックチェーン・レイヤーが侵害されており、スマートコントラクトの監査はそれについて何も言及していなかった。2026 年 4 月は、そのリストに 2 つの新しいレイヤーを追加した。OAuth アイデンティティとして機能する AI 生産性ツール (Vercel) と、顧客のコードと認証情報を保存する AI コーディングプラットフォーム (Lovable) である。

Lovable の BOLA バグ:48 日間、800 万人のユーザー、そして「意図的な挙動」

Vercel が OAuth の被害範囲を再構築している一方で、800 万人のユーザー を抱える時価総額 66 億ドルのバイブコーディング(Vibe-coding)プラットフォームである Lovable は、独自のインシデントを公開していました。この脆弱性は、オブジェクトレベルの認可の不備(BOLA)という欠陥でした。API エンドポイントが、所有権の検証なしにユーザーデータを公開していたのです。無料アカウントと 5 回の API コールだけで、他のユーザーのプロファイル、プロジェクトのソースコード、そしてそのソースコードに埋め込まれたデータベースの認証情報を読み取ることが可能でした。

このバグは、開示の 48 日前に HackerOne のトリアージ担当者によってクローズされた と報じられています。その理由は、公開されていたデータに「public」フラグが設定されており、その意味について Lovable は後に「不明確だった」と認めています。その期間中、2025 年 11 月以前のプラットフォーム上のすべてのプロジェクトにアクセス可能でした。AI チャットの履歴、顧客のソースコード、そしてソースコードに埋め込まれた認証情報(データベース、決済 API、そしてブロックチェーン RPC エンドポイントなど)が、スクリプトを作成した誰にでも列挙可能な状態でした。

Lovable の X での初期対応 は、データ漏洩を否定し、この露出を「意図的な挙動」と言い換えるものでした。これは Web3 開発者が最も懸念すべき点です。これは、AI コーディング・プラットフォームの運用上の前提が、ユーザーが継承した脅威モデルをまだ吸収していないことを示唆しています。Web3 チームが Lovable を使用してフロントエンドを構築する場合、プロトタイピング中に埋め込まれた認証情報は消えません。それらはプラットフォーム内に残り、インデックス化され、取得可能な状態であり、2026 年 4 月時点では少なくとも 48 日間、無料アカウントを持つ誰でもアクセス可能でした。

OAuth 拡散の相乗効果:なぜ「キーのローテーション」だけでは不十分なのか

これら両方のインシデントは、同じ根本原因にたどり着きます。それは、どのスコープがどのアプリに付与されたかのインベントリを持たない組織内で、AI ツールに対して永続的でマルチアプリな OAuth スコープが付与されていることです。最近の企業データはこの規模を強調しています。98% の組織が未承認の AI 利用を報告 しており、平均的な企業は現在 830 以上のアプリケーションを実行しており、そのうち 61% は正式な IT 監視の外で運用されています。AI ツールが侵害されると、これまでに付与されたすべての OAuth 権限が攻撃者の手の届く範囲に入ります。

Push Security による Vercel インシデントの事後分析 では、率直に次のように述べられています。この攻撃が成功したのは、Vercel のアイデンティティモデルがサードパーティの AI アプリを従業員と同じように扱っていたためです。「このツールはカレンダーの読み取りは許可されるが、環境変数の列挙は許可されない」といったスコープの絞り込みはありませんでした。これは Vercel 固有の失敗ではありません。過去 18 か月間に AI アシスタントを統合した、ほぼすべての Google Workspace、Microsoft 365、Okta テナントのデフォルトの状態です。

Web3 チームにとっての示唆は、Vercel クラスの侵害の後にキーをローテーションすることは必要ですが、それだけでは不十分であるということです。攻撃ベクトルである「AI ツールへの過剰な権限を持つ OAuth 付与」は、サプライチェーン内のすべての SaaS プロバイダーにわたって存続します。4 月に Vercel のデプロイ認証情報をローテーションしたとしても、Google ドライブへのフルアクセス権を持つ AI 議事録作成アプリを依然として保持しているチームは、インフォスティーラー感染一つで同じ結果を招く可能性があります。

真に防御された Web3 フロントエンドの姿

今日、いくつかの防御パターンが存在しており、これらを組み合わせれば、Vercel クラスや Lovable クラスのインシデントを無効化できたはずです。しかし、現在はどれも必須ではありません。

ウォレット UI バンドルのためのサブリソース整合性(SRI)ハッシュ。 SRI は W3C の勧告 であり、ブラウザが取得したリソースを実行前に暗号化ハッシュと一致するか検証できるようにします。整合性ハッシュが公開された後に Vercel のデプロイが変更された場合(例えば、ビルドパイプラインに侵入した攻撃者によって)、ブラウザはそのロードを拒否します。SRI は 2016 年から存在しており、簡単にサポート可能です。しかし、メインバンドルはデプロイごとに変更され、ハッシュのローテーションを管理する必要があるため、ほぼすべての Web3 フロントエンドでメインバンドルに SRI は使用されていません。

オンチェーン・フロントエンド・マニフェスト。 ENS の contenthash レコードや IPFS CID を使用することで、プロジェクトは「これがプロトコル X の正規のフロントエンドである」という情報をオンチェーンに固定できます。UI をロードする前にマニフェストを参照するウォレットは、提供されたバンドルが公開された CID と一致しないことを検出できます。EIP-2477 ではトークンのメタデータでこれが検討され、同じアイデアは dApp フロントエンドにも一般化できます。今日の採用は、すでに IPFS のみで提供しているプロジェクト(Uniswap の IPFS デプロイが顕著な例)に集中しており、それ以外では見られません。

クライアントサイドのトランザクションシミュレーション。 Rabby や Wallet Guard のようなウォレットは、署名前にすべてのトランザクションをシミュレートし、実際の資産の動きをユーザーに表示します。これは Ledger Connect Kit の攻撃者のドレインロジックの実行を防ぐことはできませんが、ユーザーが「確認」をクリックする前に「これにより USDC の全残高が 0x不明なアドレスに転送されます」と確認する機会を与えていたでしょう。採用は増えていますが、依然としてプロトコルごとではなく、ウォレットごとの対応に留まっています。

ハードウェアウォレットの「見たままを署名する(What You See Is What You Sign)」ディスプレイ。 Ledger Stax や Keystone のようなデバイスは、コールデータを解析し、デバイス画面上に人間が読める形で意図を表示することで、UI レイヤーでのフィッシングを阻止します。これが機能するのは、コントラクトにクリア署名のスキーマが公開されている場合のみです。ほとんどのコントラクトにはありません。

これら 4 つの防御策に共通するパターンは、それらが存在し、機能するにもかかわらず、デフォルトでは導入されていないことです。これらは製品機能のリリースと競合するエンジニアリング時間を必要とします。そして、それらが防ぐ最悪のシナリオである大規模な資産流出は、2026 年 4 月までは主に「他人の身に起こること」だったのです。

「転換点」への問い

Web3 は歴史的に、新しい防御策をデフォルトとして採用するために、5,000 万ドル以上のユーザー資金の損失を必要としてきました。2016 年の DAO ハックの後、監査は最低限の条件(テーブルステークス)となりました。2022 年の Ronin および Wormhole の脆弱性攻撃を受けて、マルチシグガバナンスはオプションから必須へと変わりました。Mt. Gox や数十件の取引所侵害を経て、ハードウェアウォレットは一般的になりました。

2026 年 4 月の 2 つの侵害事件では、5,000 万ドルの損失は発生しませんでした。Vercel の攻撃者が得た報酬はユーザー資金ではなく、環境変数でした。Lovable の情報漏洩で露呈したのはソースコードであり、署名済みトランザクションではありませんでした。これらはいずれも警告射撃でした。脆弱性の悪用を伴わない脆弱性公開と同等ですが、その脆弱性が修正可能なコードベースではなく、信頼関係そのものにあった点が異なります。

次の四半期に向けた課題は、Web3 ビルダーがこの警告を正しく評価するか、あるいは実際に損失が発生するのを待つかです。フロントエンドセキュリティ(SRI、オンチェーンマニフェスト、トランザクションシミュレーション、クリアサイニング)は、2017 年当時のスマートコントラクト監査と同じ状況にあります。技術的には利用可能で、慣習的にはオプション扱いですが、まもなく「明らかに不可欠」なものとして再分類されようとしています。唯一の違いは、その教訓のコストを支払うのがプロトコルではなくユーザーであるという点です。

先んじて動くチームは、1 四半期分のエンジニアリングコストを負担することになります。待機するチームは、最初の 5,000 万ドル規模の Vercel 級の流出によって生じる、ユーザーの離脱、規制当局への露出、そして数ヶ月にわたって書き続けることになるポストモーテム(事後分析報告書)というコストをすべて負担することになります。

BlockEden.xyz は、12 以上のブロックチェーンにわたって本番環境の RPC およびインデックス作成インフラを運用しています。環境の分離、スコープ指定された API キー、ローテーションツールを備え、フロントエンドセキュリティを最優先事項として扱うチーム向けに設計されています。サプライチェーンが敵対的であることを前提としたインフラ上で構築しましょう。

参照元

Share on Twitter